Мобильное вредоносное ПО SecuriDropper сумело уклониться от обнаружения
Эксперты по кибербезопасности представили новый дроппер для Android, известный как SecuriDropper, который обходит последние ограничения безопасности Google и доставляет вредоносное ПО.
Вредоносное ПО Dropper для Android предназначено для установки вредоносных полезных данных на взломанные устройства, что делает его выгодной моделью для киберпреступников, которые могут продемонстрировать свои возможности другим преступным группам. Этот подход также позволяет злоумышленникам отделить разработку и выполнение атаки от фактического процесса установки вредоносного ПО.
Согласно отчету голландской компании по кибербезопасности ThreatFabric, дроперы и ответственные за них постоянно совершенствуются, чтобы перехитрить усовершенствованные меры безопасности. Google представила в Android 13 функцию безопасности под названием «Ограниченные настройки», целью которой является предотвращение получения загруженными неопубликованными приложениями разрешений Accessibility и Notification Listener, которые часто используются банковскими троянами.
Режим работы SecuriDroppers
SecuriDropper пытается обойти этот защитный барьер незамеченным, маскируя дроппер под безобидное приложение. Некоторые наблюдаемые примеры включают в себя названия приложений вроде «com.appd.instll.load» в Google и Google Chrome.
ThreatFabric подчеркнул, что отличительной чертой SecuriDropper является технический подход к процессу установки. В отличие от своих предшественников, это семейство использует другой Android API для установки новой полезной нагрузки, имитируя процесс, используемый магазинами приложений для установки новых приложений.
В частности, это включает в себя запрос разрешений на чтение и запись данных во внешнее хранилище (READ_EXTERNAL_STORAGE и WRITE_EXTERNAL_STORAGE), а также возможность установки и удаления пакетов (REQUEST_INSTALL_PACKAGES и DELETE_PACKAGES).
На втором этапе установка вредоносной полезной нагрузки упрощается благодаря тому, что жертвам предлагается нажать кнопку «Переустановить» в приложении, предположительно для устранения ошибки установки.