Μια νέα επιχείρηση εγκλήματος στον κυβερνοχώρο dropper-as-a-service (DaaS) με το όνομα «SecuriDropper» εμφανίστηκε, χρησιμοποιώντας μια μέθοδο που παρακάμπτει τη λειτουργία «Περιορισμένες ρυθμίσεις» στο
Android
για την εγκατάσταση κακόβουλου λογισμικού σε συσκευές και την απόκτηση πρόσβασης στις Υπηρεσίες Προσβασιμότητας.
Οι περιορισμένες ρυθμίσεις είναι μια λειτουργία ασφαλείας που εισήχθη με το Android 13 και εμποδίζει τις πλευρικές εφαρμογές (αρχεία APK) που είναι εγκατεστημένες εκτός του
Google Play
να έχουν πρόσβαση σε ισχυρές λειτουργίες όπως οι ρυθμίσεις προσβασιμότητας και το πρόγραμμα ακρόασης ειδοποιήσεων.
Οι δύο άδειες συνήθως καταχρώνται από κακόβουλο λογισμικό, επομένως η δυνατότητα προοριζόταν να προστατεύσει τους χρήστες αποκλείοντας την έγκριση των αιτημάτων εμφανίζοντας μια προειδοποίηση όταν ζητούνται αυτές οι άδειες.
Αναδυόμενο παράθυρο προειδοποίησης περιορισμένων ρυθμίσεων
(ThreatFabric)
Η προσβασιμότητα μπορεί να γίνει κατάχρηση για τη λήψη κειμένου στην οθόνη, την παραχώρηση πρόσθετων αδειών και την εκτέλεση ενεργειών πλοήγησης από απόσταση, ενώ το πρόγραμμα ακρόασης ειδοποιήσεων μπορεί να χρησιμοποιηθεί για την κλοπή κωδικών πρόσβασης μίας χρήσης.
Τον Αύγουστο του 2022, η ThreatFabric ανέφερε ότι οι
προγραμματιστές
κακόβουλου λογισμικού προσάρμοζαν ήδη τις τακτικές τους σε αυτό το νέο μέτρο μέσω ενός νέου σταγονόμετρου με το όνομα «BugDrop».
Με βάση τις παρατηρήσεις της, η εταιρεία δημιούργησε ένα σταγονόμετρο proof-of-concept (PoC) για να δείξει ότι η παράκαμψη ήταν δυνατή.
Το κόλπο είναι να χρησιμοποιήσετε το API εγκατάστασης που βασίζεται σε συνεδρία για τα κακόβουλα αρχεία APK (πακέτο Android), το οποίο τα εγκαθιστά σε πολλαπλά βήματα, που περιλαμβάνουν ένα πακέτο “βάσης” και διάφορα αρχεία δεδομένων “διαχωρισμού”.
Όταν χρησιμοποιείται το συγκεκριμένο API αντί για τη μέθοδο μη περιόδου λειτουργίας, οι Περιορισμένες ρυθμίσεις παρακάμπτονται και οι χρήστες δεν εμφανίζονται το παράθυρο διαλόγου “Περιορισμένη ρύθμιση” που τους εμποδίζει να παραχωρήσουν στο κακόβουλο λογισμικό πρόσβαση σε επικίνδυνα δικαιώματα.
Το BleepingComputer επιβεβαίωσε ότι το ζήτημα ασφαλείας εξακολουθεί να υπάρχει στο Android 14 και, σύμφωνα με μια νέα έκθεση ThreatFabric, το SecuriDropper ακολουθεί την ίδια τεχνική για να φορτώσει πλευρικά κακόβουλο λογισμικό σε συσκευές-στόχους και να τους δώσει πρόσβαση σε επικίνδυνα υποσυστήματα.
Αυτή είναι η πρώτη παρατηρούμενη περίπτωση χρήσης αυτής της μεθόδου σε επιχειρήσεις εγκλήματος στον κυβερνοχώρο που στοχεύουν χρήστες Android.
Λειτουργίες Android Dropper-as-a-Service
Το SecuriDropper μολύνει συσκευές Android που παρουσιάζονται ως νόμιμη εφαρμογή, τις περισσότερες φορές πλαστοπροσωπώντας μια εφαρμογή Google, μια ενημέρωση Android, ένα πρόγραμμα αναπαραγωγής βίντεο, μια εφαρμογή ασφαλείας ή ένα παιχνίδι και, στη συνέχεια, εγκαθιστά ένα δεύτερο ωφέλιμο φορτίο, το οποίο είναι κάποια μορφή κακόβουλου λογισμικού.
Τύποι εφαρμογών που μιμείται το SecuriDropper
(ThreatFabric)
Το ωφέλιμο φορτίο δεύτερου σταδίου εγκαθίσταται μέσω εξαπάτησης χρήστη και χειραγώγησης διεπαφής, προτρέποντας τους χρήστες να κάνουν κλικ σε ένα κουμπί “Επανεγκατάσταση” αφού εμφανίσουν ψευδή μηνύματα σφάλματος σχετικά με την εγκατάσταση της εφαρμογής σταγονόμετρου.
Διαδικασία απόρριψης ωφέλιμου φορτίου
(ThreatFabric)
Το ThreatFabric είδε κακόβουλο λογισμικό SpyNote να διανέμεται μέσω του SecuriDropper μεταμφιεσμένο σε εφαρμογή Google Translate.
Σε άλλες περιπτώσεις, το SecuriDropper εθεάθη να διανέμει τραπεζικά trojans Ermac μεταμφιεσμένα στο πρόγραμμα περιήγησης Chrome, στοχεύοντας εκατοντάδες εφαρμογές
κρυπτο
νομισμάτων και ηλεκτρονικής τραπεζικής.
ThreatFabric
επίσης αναφορές
σχετικά με την επανεμφάνιση του Zombinder, μιας επιχείρησης DaaS που τεκμηριώθηκε για πρώτη φορά τον Δεκέμβριο του 2022. Αυτή η υπηρεσία “κολλάει” κακόβουλα ωφέλιμα φορτία με νόμιμες εφαρμογές για να μολύνει συσκευές Android με κλέφτες πληροφοριών και trojans τραπεζών.
Ανησυχητικά, οι πρόσφατες διαφημίσεις του Zombinder τονίζουν την ίδια στρατηγική παράκαμψης περιορισμένων ρυθμίσεων που συζητήθηκε προηγουμένως, έτσι ώστε τα ωφέλιμα φορτία να λαμβάνουν άδεια χρήσης των ρυθμίσεων Προσβασιμότητας κατά την εγκατάσταση.
Η τελευταία διαφήμιση του Zombinder
(ThreatFabric)
Για να προστατευτούν από αυτές τις επιθέσεις, οι χρήστες Android θα πρέπει να αποφεύγουν τη λήψη αρχείων APK από ασαφείς πηγές ή εκδότες που δεν γνωρίζουν και δεν εμπιστεύονται.
Η πρόσβαση σε δικαιώματα για οποιαδήποτε εγκατεστημένη εφαρμογή μπορεί να ελεγχθεί και να ανακληθεί μεταβαίνοντας στο
Ρυθμίσεις →
Εφαρμογές
→ [select an app] → Άδειες
.
Το BleepingComputer επικοινώνησε με την Google για να ρωτήσει εάν θα εφαρμοστούν νέα μέτρα ασφαλείας για την αντιμετώπιση αυτού του προβλήματος που επηρεάζεται ενεργά, αλλά δεν έχουμε λάβει απάντηση μέχρι την ώρα της δημοσίευσης.
VIA:
bleepingcomputer.com