Um dropper-as-a-service (DaaS) recentemente identificado usa uma nova técnica para contornar as restrições de segurança do Android para entrega de carga útil, relata a empresa de detecção de fraudes online ThreatFabric.
Apelidado ‘SecuriDropper‘, a ameaça usa um instalador ‘baseado em sessão’ para transferir malware, ignorando o recurso Configurações restritas que o Google introduziu no Android 13.
Atuando como um guardião, as Configurações restritas evitam que aplicativos transferidos por sideload solicitem permissões de acessibilidade e ouvinte de notificação, que normalmente são abusadas por malware.
Para aplicativos baixados de um mercado, um instalador de pacote baseado em sessão é usado, diferenciando-os dos aplicativos transferidos por sideload.
Para contornar as restrições, o SecuriDropper emprega um processo de infecção em duas etapas, que envolve a distribuição de um aplicativo aparentemente inócuo que serve como um conta-gotas para a carga secundária, normalmente malware.
O SecuriDropper, descobriu o ThreatFabric, usa uma API Android que permite imitar o processo de instalação de um mercado, evitando que o sistema operacional identifique a carga útil como sideload, ignorando assim as configurações restritas.
O conta-gotas solicita permissões para ler e gravar no armazenamento externo e para instalar e excluir pacotes e, em seguida, verifica se a carga está instalada no dispositivo. Se for, o conta-gotas o inicia, solicitando ao usuário que ‘reinstale’ o aplicativo, o que inicia a entrega da carga útil.
“Após a instalação baseada em sessão, o aplicativo malicioso opera de acordo com a finalidade pretendida, solicitando com sucesso as permissões essenciais e solicitando aos usuários que habilitem o AccessibilityService, o que é possível devido à violação do recurso ‘Configuração restrita’ do Android 13”, explica ThreatFabric.
Até o momento, foi observado que o SecuriDropper entrega a família de spyware SpyNote (que também inclui recursos RAT) e o trojan bancário Ermac.
Além do SecuriDropper, o Zombinder é outro DaaS anunciado com recursos de desvio de configurações restritas. Disponível desde pelo menos 2022, ele basicamente injeta um conta-gotas em um aplicativo legítimo.
De acordo com o ThreatFabric, anúncios recentes do Zombinder DaaS mencionam o acesso a um construtor de conta-gotas que parece funcionar de forma semelhante ao SecuriDropper.
“No entanto, no momento em que escrevo este blog, não possuímos informações definitivas para estabelecer uma conexão direta entre o SecuriDropper e o serviço Zombinder anunciado. Os pesquisadores do ThreatFabric continuarão monitorando de perto os serviços SecuriDropper e Zombinder”, observa a empresa.
