Pesquisadores de segurança cibernética lançaram luz sobre um novo serviço de dropper para Android chamado SecuriDropper, que consegue burlar as novas restrições de segurança impostas pelo Google e entrega o malware.
Os malwares dropper no Android são projetados para funcionar como um meio de instalar um payload em um dispositivo comprometido, tornando-se um modelo de negócio lucrativo para os atores de ameaças, que podem anunciar as capacidades para outros grupos criminosos.
Além disso, isso permite que os adversários separem o desenvolvimento e a execução de um ataque da instalação do malware.
"Droppers e os atores por trás deles estão em um estado constante de evolução, na medida em que se esforçam para superar as medidas de segurança em evolução", disse a empresa holandesa de segurança cibernética ThreatFabric, em um relatório compartilhado com o The Hacker News.
Uma tal medida de segurança introduzida pelo Google com o Android 13 é o que se chama de Configurações Restritas, que impede aplicações externas de obter permissões de Acessibilidade e Ouvir Notificações, que são frequentemente abusadas por trojans bancários.
SecuriDropper visa contornar este corrimão sem ser detectado, com o dropper muitas vezes disfarçado como um aplicativo aparentemente inofensivo.
Alguns dos exemplos observados na prática são -
com.appd.instll.load (Google)
com.appd.instll.load (Google Chrome)
"O que faz SecuriDropper se destacar é a implementação técnica do seu procedimento de instalação", explicou ThreatFabric.
"Diferente de seus antecessores, esta família utiliza uma API do Android diferente para instalar um novo payload, imitando o processo usado por marketplaces para instalar novas aplicações."
Especificamente, isto envolve solicitar permissões para ler e escrever dados no armazenamento externo (READ_EXTERNAL_STORAGE e WRITE_EXTERNAL_STORAGE) bem como instalar e deletar pacotes (REQUEST_INSTALL_PACKAGES e DELETE_PACKAGES).
Na segunda etapa, a instalação do payload malicioso é facilitada instigando as vítimas a clicarem em um botão "Reinstalar" no aplicativo para resolver um suposto erro de instalação.
ThreatFabric afirmou que observou trojans bancários Android como SpyNote e ERMAC distribuídos via SecuriDropper em sites enganosos e plataformas de terceiros como Discord.
Outro serviço dropper que também foi visto oferecendo uma burla semelhante para Configurações Restritas é o Zombinder, uma ferramenta de vinculação APK que se acreditava ter sido descontinuada no início deste ano.
Ainda não está claro se há alguma conexão entre as duas ferramentas.
"Conforme o Android continua a elevar o nível a cada nova versão, os cibercriminosos também se adaptam e inovam", disse a empresa.
"As plataformas de Dropper-as-a-Service (DaaS) surgiram como ferramentas potentes, permitindo que atores mal-intencionados infiltram dispositivos para distribuir spyware e trojans bancários."
Quando procurado para comentar sobre as últimas descobertas, um porta-voz do Google compartilhou a seguinte declaração com The Hacker News -
Configurações restritivas adicionam uma camada extra de proteção em cima da confirmação do usuário que é necessária para aplicativos acessarem configurações/permissões do Android.
Como uma proteção central, os usuários do Android estão sempre no controle de quais permissões concedem a um aplicativo.
Os usuários também são protegidos pelo Google Play Protect, que pode alertar usuários ou bloquear aplicativos conhecidos por exibir comportamento malicioso em dispositivos Android com Google Play Services.
Estamos constantemente revisando métodos de ataque e melhorando as defesas do Android contra malwares para ajudar a manter os usuários em segurança.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...