Serviço de cibercrime burla segurança do Android para instalar malware
7 de Novembro de 2023

Uma nova operação de cibercrime denominada "SecuriDropper" surgiu, utilizando um método que contorna o recurso de 'Configurações Restritas' do Android para instalar malware em dispositivos e obter acesso aos Serviços de Acessibilidade.

Configurações Restritas é um recurso de segurança introduzido com o Android 13, que impede que aplicativos carregados lateralmente (arquivos APK) instalados de fora do Google Play acessem recursos poderosos, como as configurações de acessibilidade e o ouvinte de notificação.

As duas permissões são comumente abusadas por malware, então o recurso foi criado para proteger os usuários, bloqueando a aprovação de solicitações ao exibir um aviso quando essas permissões são solicitadas.

A acessibilidade pode ser abusada para capturar texto na tela, conceder permissões adicionais e realizar ações de navegação remotamente, enquanto o Ouvinte de Notificação pode ser usado para roubar senhas de uso único.

Em agosto de 2022, a ThreatFabric informou que os desenvolvedores de malware já estavam ajustando suas táticas a essa nova medida através de um novo dropper chamado 'BugDrop'.

Com base em suas observações, a empresa criou um dropper de prova de conceito (PoC) para mostrar que a burla era possível.

O truque é usar a API de instalação baseada em sessão para os arquivos APK maliciosos, que são instalados em várias etapas, envolvendo um pacote "base" e vários arquivos de dados "divididos".

Quando a API específica é usada, em vez do método que não é baseado em sessão, as Configurações Restritas são contornadas e os usuários não veem o diálogo de 'Configuração restrita' que impede que eles concedam à malware o acesso a permissões perigosas.

A BleepingComputer confirmou que o problema de segurança ainda está presente no Android 14 e, de acordo com um novo relatório da ThreatFabric, o SecuriDropper segue a mesma técnica para carregar malware em dispositivos-alvo e dar a eles acesso a subsistemas arriscados.

Esta é a primeira observação deste método sendo usado em operações de cibercrime que visam usuários de Android.

SecuriDropper infecta dispositivos Android se passando por um aplicativo legítimo, mais frequentemente imitando um aplicativo do Google, atualização do Android, player de vídeo, aplicativo de segurança ou um jogo, e então instala uma segunda carga maliciosa.

O dropper consegue isso garantindo o acesso às permissões "Ler & Escrever no Armazenamento Externo" e "Instalar & Excluir Pacotes" ao ser instalado.

A carga maliciosa de segundo estágio é instalada através da decepção do usuário e manipulação da interface, solicitando aos usuários que cliquem em um botão de "Reinstalar" após exibir mensagens de erro falsas sobre a instalação do aplicativo dropper.

A ThreatFabric flagrou o malware SpyNote sendo distribuído através do SecuriDropper, disfarçado de aplicativo Google Translate.

Em outros casos, o SecuriDropper foi visto distribuindo trojans bancários Ermac disfarçados de navegador Chrome, mirando centenas de aplicações de criptomoedas e e-banks.

A ThreatFabric também relata o ressurgimento do Zombinder, uma operação DaaS documentada pela primeira vez em dezembro de 2022.

Este serviço "cola" cargas maliciosas com aplicativos legítimos para infectar dispositivos Android com ladrões de informações e trojans bancários.

Preocupantemente, os recentes anúncios do Zombinder destacam a mesma estratégia para contornar as Configurações Restritas discutida anteriormente, então as cargas são concedidas permissão para usar as configurações de acessibilidade após a instalação.

Para se proteger contra esses ataques, os usuários do Android devem evitar baixar arquivos APK de fontes desconhecidas ou de editores que não conhecem e confiam.

O acesso às permissões de qualquer aplicativo instalado pode ser revisado e revogado indo para Configurações → Aplicativos → [selecionar um aplicativo] → Permissões.

Atualização 11/6: Em resposta a um pedido de comentário da BleepingComputer, um porta-voz do Google nos enviou a seguinte declaração:

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...