SecuriDropper 移动恶意软件设法躲避检测
网络安全专家推出了一种名为 SecuriDropper 的新 Android dropper 服务,该服务可以绕过 Google 最新的安全限制并传播恶意软件。
适用于 Android 的 Dropper 恶意软件旨在充当在受感染设备上安装恶意负载的渠道,使其成为网络犯罪分子的盈利模式,他们可以向其他犯罪集团展示其能力。这种方法还允许攻击者将攻击的开发和执行与实际的恶意软件安装过程分开。
根据荷兰网络安全公司 ThreatFabric 的一份报告,植入者及其负责人不断发展,以智胜先进的安全措施。谷歌在 Android 13 中引入了一项名为“受限设置”的安全功能,旨在防止侧载应用程序获取经常被银行木马利用的辅助功能和通知侦听器权限。
SecuriDroppers 的操作模式
SecuriDropper 试图通过将 dropper 伪装成无害的应用程序来绕过此保护屏障而不被发现。一些在野外观察到的样本包括 Google 和 Google Chrome 中的应用程序名称,例如“com.appd.instll.load”。
ThreatFabric 强调了 SecuriDropper 的与众不同之处在于其安装过程的技术方法。与其前身不同,该系列采用不同的 Android API 来安装新的有效负载,模仿应用程序市场安装新应用程序所使用的流程。
具体来说,这涉及请求读取和写入外部存储数据的权限(READ_EXTERNAL_STORAGE 和 WRITE_EXTERNAL_STORAGE)以及安装和删除包的能力(REQUEST_INSTALL_PACKAGES 和 DELETE_PACKAGES)。
在第二阶段,通过敦促受害者单击应用程序中的“重新安装”按钮来促进恶意负载的安装,据称是为了解决安装错误。