Μια νέα επιχείρηση dropper-as-a-service (DaaS) με το όνομα “SecuriDropper” παρακάμπτει τη λειτουργία “Restricted Settings” στο Android, για την εγκατάσταση malware σε συσκευές και την απόκτηση πρόσβασης στις Υπηρεσίες Προσβασιμότητας.

Τα Restricted Settings είναι μια λειτουργία ασφαλείας που εισήχθη με το Android 13. Ενισχύει την ασφάλεια, εμποδίζοντας side-loaded applications (APK files), που έχουν εγκατασταθεί από πηγές εκτός του Google Play, να έχουν πρόσβαση σε σημαντικές λειτουργίες όπως οι ρυθμίσεις προσβασιμότητας και το Notification Listener.

Αυτά τα δύο χρησιμοποιούνται συχνά από εγκληματίες του κυβερνοχώρου για μόλυνση με κακόβουλο λογισμικό. Επομένως, τα Restricted Settings εισήχθησαν για να αποκλείουν την έγκριση των αιτημάτων για πρόσβαση σε αυτές τις υπηρεσίες και για να εμφανίζουν μια προειδοποίηση όταν ζητούνται αυτές οι άδειες.

Η Προσβασιμότητα μπορεί να χρησιμοποιηθεί για τη λήψη on-screen text, την παραχώρηση πρόσθετων αδειών και την εκτέλεση ενεργειών πλοήγησης απομακρυσμένα, ενώ το Notification Listener μπορεί να χρησιμοποιηθεί για την κλοπή κωδικών πρόσβασης μίας χρήσης.

Δείτε επίσης: Find My: Μπορεί να καταχραστεί για να κλαπούν κωδικοί πρόσβασης

Τον Αύγουστο του 2022, η ThreatFabric ανέφερε ότι οι προγραμματιστές κακόβουλου λογισμικού προσάρμοζαν ήδη τις τακτικές τους για την κατάχρηση αυτών των δύο, μέσω ενός νέου dropper με το όνομα “BugDrop“.

Με βάση τις παρατηρήσεις της, η εταιρεία δημιούργησε ένα proof-of-concept (PoC) dropper για να δείξει ότι η παράκαμψη ήταν δυνατή.

Όλα γίνονται με τη χρήση session-based installation API για τα κακόβουλα αρχεία APK (Android package), το οποίο τα εγκαθιστά σε πολλαπλά βήματα, που περιλαμβάνουν ένα “base” package και διάφορα “split” data files.

Όταν χρησιμοποιείται το συγκεκριμένο API αντί για τη μέθοδο non-session, τα Restricted Settings παρακάμπτονται και οι χρήστες δεν βλέπουν το παράθυρο διαλόγου “Restricted Settings” που τους εμποδίζει να παραχωρήσουν στο κακόβουλο λογισμικό πρόσβαση σε πρόσθετα δικαιώματα.

Σύμφωνα με το BleepingComputer, το ζήτημα ασφαλείας εξακολουθεί να υπάρχει στο Android 14 και, σύμφωνα με μια νέα έκθεση της ThreatFabric, το SecuriDropper ακολουθεί την ίδια τεχνική για να φορτώσει (side-load) κακόβουλο λογισμικό σε συσκευές και να τους δώσει πρόσβαση σε επικίνδυνα υποσυστήματα.

Android Dropper-as-a-Service

Το SecuriDropper εμφανίζεται ως νόμιμη εφαρμογή και μολύνει συσκευές Android. Τις περισσότερες φορές εμφανίζεται σαν μια εφαρμογή Google, μια ενημέρωση Android, ένα πρόγραμμα αναπαραγωγής βίντεο, μια εφαρμογή ασφαλείας ή ένα παιχνίδι. Στη συνέχεια, εγκαθιστά ένα δεύτερο payload, το οποίο είναι malware.

Δείτε επίσης: Το Socks5Systemz proxy botnet έχει μολύνει πάνω από 10.000 συσκευές

Το dropper το επιτυγχάνει αυτό εξασφαλίζοντας πρόσβαση στις άδειες “Read & Write External Storage” και “Install & Delete Packages“, κατά την εγκατάσταση.

Το payload δεύτερου σταδίου εγκαθίσταται μέσω εξαπάτησης του χρήστη και χειραγώγησης του interface, προτρέποντας τους χρήστες να κάνουν κλικ σε ένα κουμπί “Reinstall“, αφού εμφανίσουν ψεύτικα μηνύματα σφάλματος σχετικά με την εγκατάσταση της εφαρμογής dropper.

Σύμφωνα με τη ThreatFabric, το SpyNote malware διανέμεται μέσω του SecuriDropper dropper, μεταμφιεσμένο σε εφαρμογή Google Translate.

Σε άλλες περιπτώσεις, το SecuriDropper εθεάθη να διανέμει banking Ermac trojans, μεταμφιεσμένα στο πρόγραμμα περιήγησης Chrome.

Για να προστατευτείτε από αυτές τις επιθέσεις έναντι Android συσκευών, θα πρέπει να αποφεύγετε τη λήψη αρχείων APK από μη αξιόπιστες πηγές. Επιπλέον, είναι σημαντικό να ελέγχετε τις άδειες που ζητούν οι εφαρμογές. Αν ζητούν άδεια για πρόσβαση σε στοιχεία της συσκευής που δεν είναι απαραίτητα για τη λειτουργία της εφαρμογής, αποφύγετε την εγκατάστασή της.

Επιπλέον, είναι σημαντικό να εγκαταστήσετε μια antivirus εφαρμογή από έναν αξιόπιστο πάροχο ασφαλείας. Αυτό το πρόγραμμα θα σαρώνει το τηλέφωνό σας για κακόβουλο λογισμικό και θα σας προειδοποιεί για τυχόν απειλές. Επίσης, μην ξεχνάτε να ενημερώνετε τακτικά το λειτουργικό σύστημα και τις εφαρμογές σας, καθώς οι ενημερώσεις συνήθως περιλαμβάνουν διορθώσεις ασφαλείας για να αντιμετωπίσουν γνωστά προβλήματα ασφαλείας.

Οι πιθανές συνέπειες μιας επιτυχημένης μόλυνσης Android συσκευής με malware μπορούν να είναι πολλαπλές και σοβαρές. Ένας από τους κυριότερους κινδύνους είναι η κλοπή προσωπικών πληροφοριών. Οι κυβερνοεγκληματίες μπορούν να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα, όπως κωδικούς πρόσβασης, τραπεζικές πληροφορίες, πληροφορίες πιστωτικών καρτών και προσωπικές φωτογραφίες. Αυτές οι πληροφορίες μπορούν να χρησιμοποιηθούν για απάτη, αποκλεισμό του χρήστη από τον λογαριασμό του ή ακόμα και για εκβιασμό.

Δείτε επίσης: Ανάπτυξη εφαρμογών για κυβερνοασφάλεια: Ταλαιπωρία ή ευκαιρία;

Εκπρόσωπος της Google είπε στο BleepingComputer σχετικά με αυτή την απειλή:

“Τα Restricted settings προσθέτουν ένα επιπλέον επίπεδο προστασίας, πάνω από την επιβεβαίωση χρήστη που απαιτείται για την πρόσβαση των εφαρμογών σε ρυθμίσεις/δικαιώματα Android.

Ως βασική προστασία, οι χρήστες Android έχουν πάντα τον έλεγχο των αδειών που εκχωρούν σε μια εφαρμογή.

Οι χρήστες προστατεύονται επίσης από το Google Play Protect, το οποίο μπορεί να προειδοποιεί τους χρήστες ή να αποκλείει εφαρμογές που είναι γνωστό ότι παρουσιάζουν κακόβουλη συμπεριφορά σε συσκευές Android με Google Play Services.

Εξετάζουμε συνεχώς τις μεθόδους επίθεσης και βελτιώνουμε την άμυνα του Android έναντι κακόβουλου λογισμικού για να βοηθήσουμε τους χρήστες να διατηρηθούν ασφαλείς”.

Πηγή: www.bleepingcomputer.com