SecuriDropper: Android 13 korlátozásainak megkerülése
A ThreatFabric egy új Dropper-as-a-Service (DaaS) szolgáltatást azonosítottak, amely megkerüli a Google új biztonsági korlátozásait és képes Android 13-ra is kártékony kódokat juttatni.
A dropperek a rosszindulatú programok egy speciális kategóriáját jelentik, amelyek fő célja a payload telepítése a fertőzött eszközre. A dropperek használata lehetővé teszi a szereplők számára, hogy elkülönítsék a támadás kialakítását és végrehajtását a rosszindulatú program telepítésétől. Ez önmagában is üzleti törekvés lehet, mivel sok szereplő úgy dönt, hogy olyan dropperek kifejlesztésére összpontosít, amelyeket el lehet adni más bűnözőknek a MaaS (Malware-as-a-Service) részeként.
Az Android 13-ban a Google a legújabb megoldásával válaszolt ebben a folyamatban lévő csatában, és korlátozta az oldalt letöltött alkalmazások jogosultságait. A Google ezt a funkciót korlátozott beállításoknak (Restricted Settings) nevezi. A beállítások kapuőrként működnek, és megtiltják, hogy az oldalról betöltött alkalmazások közvetlenül kérjenek hozzáférést a Kisegítő lehetőségekhez és az Értesítésfigyelőhöz. Ez a két funkció, amelyet a rosszindulatú programok gyakran visszaélnek.
A DaaS kétlépcsős fertőzési folyamatot kínál, amely a SecuriDropper esetében lehetővé teszi a kiberbűnözők számára, hogy észlelés nélkül megkerüljenek minden biztonsági megoldást, beleértve az Android 13 korlátozott beállításait.
Az első szakasz egy látszólag ártalmatlan alkalmazás terjesztését foglalja magában, gyakran valós alkalmazásnak álcázva, és amely dropper-ként szolgál. A dropper feladata egy másodlagos hasznos adat, jellemzően rosszindulatú program (kémprogram vagy banki trójai) telepítése az áldozat eszközére. A feladatok ilyen szétválasztása további összetettséget ad a támadásnak, ami megnehezíti a biztonsági intézkedések számára a rosszindulatú tevékenységek észlelését és megakadályozását.
Ami a SecuriDroppert kiemeli, az a telepítési eljárás technikai megvalósítása. Elődeitől eltérően ez a család egy másik Android API-t használ az új rakomány telepítéséhez, utánozva a piacterek által az új alkalmazások telepítéséhez használt folyamatot.
Ily módon az operációs rendszer nem tud különbséget tenni a cseppentő által telepített alkalmazás és a piactér között, és lehetővé teszi a rakomány számára, hogy megkerülje az Android 13 korlátozott beállítások funkcióját.
A ThreatFabric megosztott az azonosításhoz szükséges mutatókat.