Специалисты ThreatFabric рассказали о новом дроппере для Android под названием SecuriDropper, который используется для доставки малвари и успешно обходит защитную функцию Restricted Settings («Ограниченные настройки»).
Одной из мер безопасности, представленных Google в Android 13, стала функция Restricted Settings, которая не позволяет загруженным из сторонних источников приложениям (APK-файлам) получать разрешения Accessibility и Notification Listener, которыми, к примеру, часто злоупотребляют банковские трояны. Так, Accessibility может использоваться для перехвата текста на экране, получения дополнительных прав и удаленного выполнения действий, а Notification Listener — для кражи одноразовых паролей.
SecuriDropper стремится незаметно обойти это ограничение, при этом сам дроппер часто маскируется под безобидные на первый взгляд приложения. Например, исследователи наблюдали образцы, имитировавшие com.appd.instll.load (Google) и com.appd.instll.load (Google Chrome), видеоплееры, защитные решения и игры, которые затем устанавливали на устройство вредоносную полезную нагрузку.
Приложения, под которые маскируется SecuriDropper
Еще в 2022 года эксперты ThreatFabric сообщали, что разработчики малвари уже адаптируют свои тактики к новой защите с помощью дроппера BugDrop. Тогда, основываясь на этих наблюдениях, компания создала собственный proof-of-concept дроппер, демонстрирующий возможность обхода Restricted Setting.
Суть заключалась в использовании сеансового API для установки вредоносных APK-файлов, который устанавливал их в несколько этапов. Дело в том, что у приложений для Android есть два способа установки других приложений. Первый и наиболее распространенный — это установка без сеанса, который, по сути, представляет собой передачу установки одного APK-файла установщику системного пакета.
Второй метод на основе сеансов позволяет приложениям выполнять установку одного или нескольких APK-файлов одновременно. Этот метод обычно используется приложениями в Play Store и позволяет устанавливать несколько APK-файлов за раз, при этом приложения распространяются в виде одного «базового» APK и нескольких «разделенных» APK.
Фактически, в прошлом году исследователи обнаружили, что BugDrop использовал именно второй метод установки (на основе сеансов, как это происходит в случае Play Store), а значит, ограничения к таким приложениям не применялись.
Как оказалось, эта проблема по-прежнему актуальна и для Android 14. Согласно новому отчету ThreatFabric, SecuriDropper использует ту же тактику для загрузки вредоносного ПО на целевые устройства и предоставления им опасных разрешений.
Как пишут исследователи, при установке SecuriDropper получает доступ к разрешениям Read и Write External Storage, а также Install и Delete Packages. А установка полезной нагрузки второго этапа осуществляется путем обмана пользователя и манипуляций с интерфейсом, в ходе которых жертву побуждают нажать на кнопку «Reinstall» после появления ложных сообщений об ошибках при установке приложения-дроппера.
По данным ThreatFabric, с помощью SecuriDropper распространялась малварь SpyNote (маскируясь под Google Translate), а также банковский троян Ermac, атакующий сотни криптовалютных и банковских приложений, и замаскированный под браузер Chrome.
В отчете специалистов отмечается, что другой сервис-дроппер, Zombinder, который так же предлагал аналогичный обход Restricted Setting и был предположительно закрыт ранее в этом году, снова рекламируется на хакерских форумах. В настоящее время неясно, есть ли какая-либо связь между этими двумя инструментами.
Одной из мер безопасности, представленных Google в Android 13, стала функция Restricted Settings, которая не позволяет загруженным из сторонних источников приложениям (APK-файлам) получать разрешения Accessibility и Notification Listener, которыми, к примеру, часто злоупотребляют банковские трояны. Так, Accessibility может использоваться для перехвата текста на экране, получения дополнительных прав и удаленного выполнения действий, а Notification Listener — для кражи одноразовых паролей.
SecuriDropper стремится незаметно обойти это ограничение, при этом сам дроппер часто маскируется под безобидные на первый взгляд приложения. Например, исследователи наблюдали образцы, имитировавшие com.appd.instll.load (Google) и com.appd.instll.load (Google Chrome), видеоплееры, защитные решения и игры, которые затем устанавливали на устройство вредоносную полезную нагрузку.
Приложения, под которые маскируется SecuriDropper
Еще в 2022 года эксперты ThreatFabric сообщали, что разработчики малвари уже адаптируют свои тактики к новой защите с помощью дроппера BugDrop. Тогда, основываясь на этих наблюдениях, компания создала собственный proof-of-concept дроппер, демонстрирующий возможность обхода Restricted Setting.
Суть заключалась в использовании сеансового API для установки вредоносных APK-файлов, который устанавливал их в несколько этапов. Дело в том, что у приложений для Android есть два способа установки других приложений. Первый и наиболее распространенный — это установка без сеанса, который, по сути, представляет собой передачу установки одного APK-файла установщику системного пакета.
Второй метод на основе сеансов позволяет приложениям выполнять установку одного или нескольких APK-файлов одновременно. Этот метод обычно используется приложениями в Play Store и позволяет устанавливать несколько APK-файлов за раз, при этом приложения распространяются в виде одного «базового» APK и нескольких «разделенных» APK.
Фактически, в прошлом году исследователи обнаружили, что BugDrop использовал именно второй метод установки (на основе сеансов, как это происходит в случае Play Store), а значит, ограничения к таким приложениям не применялись.
Как оказалось, эта проблема по-прежнему актуальна и для Android 14. Согласно новому отчету ThreatFabric, SecuriDropper использует ту же тактику для загрузки вредоносного ПО на целевые устройства и предоставления им опасных разрешений.
Как пишут исследователи, при установке SecuriDropper получает доступ к разрешениям Read и Write External Storage, а также Install и Delete Packages. А установка полезной нагрузки второго этапа осуществляется путем обмана пользователя и манипуляций с интерфейсом, в ходе которых жертву побуждают нажать на кнопку «Reinstall» после появления ложных сообщений об ошибках при установке приложения-дроппера.
По данным ThreatFabric, с помощью SecuriDropper распространялась малварь SpyNote (маскируясь под Google Translate), а также банковский троян Ermac, атакующий сотни криптовалютных и банковских приложений, и замаскированный под браузер Chrome.
В отчете специалистов отмечается, что другой сервис-дроппер, Zombinder, который так же предлагал аналогичный обход Restricted Setting и был предположительно закрыт ранее в этом году, снова рекламируется на хакерских форумах. В настоящее время неясно, есть ли какая-либо связь между этими двумя инструментами.
