SecuriDropper 行動惡意軟體設法躲避偵測
網路安全專家推出了一種名為 SecuriDropper 的新 Android dropper 服務,該服務可以繞過 Google 最新的安全限制並傳播惡意軟體。
適用於 Android 的 Dropper 惡意軟體旨在充當在受感染設備上安裝惡意負載的管道,使其成為網路犯罪分子的盈利模式,他們可以向其他犯罪集團展示其能力。這種方法還允許攻擊者將攻擊的開發和執行與實際的惡意軟體安裝過程分開。
根據荷蘭網路安全公司 ThreatFabric 的報告,植入者及其負責人不斷發展,以智勝先進的安全措施。谷歌在 Android 13 中引入了一項名為「受限設定」的安全功能,旨在防止側載應用程式取得經常被銀行木馬利用的輔助功能和通知偵聽器權限。
SecuriDroppers 的操作模式
SecuriDropper 試圖透過將 dropper 偽裝成無害的應用程式來繞過此保護屏障而不被發現。一些在野外觀察到的樣本包括 Google 和 Google Chrome 中的應用程式名稱,例如「com.appd.instll.load」。
ThreatFabric 強調了 SecuriDropper 的與眾不同之處在於其安裝過程的技術方法。與其前身不同,該系列採用不同的 Android API 來安裝新的有效負載,模仿應用程式市場安裝新應用程式所使用的流程。
具體來說,這涉及請求讀取和寫入外部儲存資料的權限(READ_EXTERNAL_STORAGE 和 WRITE_EXTERNAL_STORAGE)以及安裝和刪除套件的能力(REQUEST_INSTALL_PACKAGES 和 DELETE_PACKAGES)。
在第二階段,透過敦促受害者點擊應用程式中的「重新安裝」按鈕來促進惡意負載的安裝,據稱是為了解決安裝錯誤。