Nový Android Dropper dokáže obísť obranu Androidu. Váš smartfón môže byť v ohrození
Bezpečnostní experti informujú o dropperi SecuriDropper, ktorý získa prístup k mimoriadne citlivým povoleniam.
Bezpečnostní experti z ThreatFabric popisujú nový dropper SecuriDropper, ktorý je prvým široko distribuovaným dropperom schopným obísť bezpečnostné opatrenia operačného systému Android 13.
V tejto verzii Androidu spoločnosť Google reagovala na problém šíriaceho sa malvéru tým, že obmedzila povolenia, ktoré boli udelené aplikáciám inštalovaným z iných zdrojov. Táto funkcia je známa aj ako „Obmedzené nastavenia“.
Droppery sú špecifickou kategóriou malvéru a slúžia na sťahovanie a inštalovanie škodlivého kódu. V praxi to znamená, že ak si užívateľ stiahne aplikáciu s ukrytým dropperom, nesťahuje si do zariadenia samotný kód, ktorý urobí najväčšiu škodu. Na základe príkazov útočníka môže dropper začať s inštaláciou malvéru nejaký čas po stiahnutí samotnej aplikácie. V podstate tak droppery umožnia oddeliť vývoj a vykonanie útoku od inštalácie malvéru. Droppery sa bežne ponúkajú iným zločincom v rámci metódy “malvér-ako-služba”.
Vo sfére kyberzločinu už nemusí mať útočník programátorské znalosti, aby mohol vykonať útok. Malvér-ako-služba je systém, v ktorom nezávislí aktéri vyvíjajú rôzne typy škodlivého softvéru, ktoré si môžu zločinci podľa potreby prenajať. Prenajatie malvéru im poskytne prístup ku škodlivému softvéru na určitý čas.
Aplikácie zo zdrojov iných ako Obchod Play sú populárnym miestom, kde ukryť malvér. Nepodliehajú totiž rovnakým bezpečnostným kontrolám ako aplikácie publikované na oficiálnych obchodoch s aplikáciami. Obmedzené nastavenia od Googlu slúžia ako ochranca, ktorý zabráni nepriamo inštalovaným aplikáciám získať prístup k nastaveniam dostupnosti a notifikáciám. Tieto dve funkcie sú najčastejšie zneužívané rôznymi malvérmi.
Neprehliadnite
SecuriDropper obchádza bezpečnostné nastavenia Android 13
SecuriDropper umožňuje útočníkom tieto obmedzenia prekonať. Bezpečnostní experti vysvetľujú, že tento dropper pracuje v dvoch fázach, vďaka ktorým môže do zariadenia dostať malvér aj napriek obmedzeným nastaveniam Android 13. Prvá fáza útoku predstavuje šírenie na prvý pohľad neškodnej aplikácie. Tú môžu útočníci šíriť ako legitímnu aplikáciu, ktorá však funguje ako dropper.
Práve dropper je zodpovedný za druhú fázu útoku, ktorou je stiahnutie malvéru. Typicky ide o spware alebo bankové trójske kone. Rozdelenie útoku na dve fázy výrazne sťažuje prácu rôznym bezpečnostným systémom, ktoré majú chrániť zariadenia pred škodlivou aktivitou.
Podobné droppery sa objavovali už v minulosti, no SecuriDropper ich prekonáva použitím iného Android rozhrania na nainštalovanie škodlivého procesu. Toto nové rozhranie napodobňuje proces oficiálnych obchodov s aplikáciami pri inštalovaní nových aplikácií. V skratke, operačný systém nedokáže rozlíšiť inštaláciu aplikácie prostredníctvom droppera a legitímneho obchodu s aplikáciami. To dovolí malvéru obísť obmedzené nastavenia Androidu 13.
Prostredníctvom SecuriDroppera sa šíri napríklad spyware SpyNote, ktorý si vyžaduje prístup k procesu AccessibilityService. Toto povolenie následne využíva na prístup k textovým správam, zoznamu hovorov a nahrávaniu obrazovky. SpyNote potrebuje funkcie prístupnosti a preto niet divu, že ako dropper používa SecuriDropper, ktorý sa k týmto povoleniam dokáže dostať.
Čo sa týka bankových trójskych koňov, tam figuruje malvér Ermac. Tento bankový trójsky kôň sa šíri najmä cez platformu Discord, ktorá je populárna medzi hráčmi a rôznymi online komunitami. Bezpečnostní experti upozorňujú, že zatiaľ čo sa Android pokúša priniesť nové bezpečnostné riešenia, kyberzločinci stále dokážu držať krok. SecuriDropper je príkladom toho, že s každou evolúciou operačných systémov a bezpečnostných praktík sa vyvíja aj malvér.
Komentáre