Laut The Hacker News ist Android-Dropper-Malware so konzipiert, dass sie als Kanal für die Installation von Schadcode auf Geräten dient und somit ein lukratives Geschäftsmodell für Angreifer darstellt. Gleichzeitig wird diese Fähigkeit auch anderen kriminellen Gruppen angeboten.
Die eingeschränkten Einstellungen sind eine Sicherheitsfunktion in Android 13, die verhindert, dass Apps außerhalb des Google Play Stores auf die Bedienungshilfen und den Benachrichtigungs-Listener zugreifen. Wenn eine App diese Berechtigungen anfordert, warnt die Funktion die Nutzer sofort und verhindert, dass sie der App diese Berechtigungen erteilen.
Laut Vu Ngoc Son, dem technischen Direktor des vietnamesischen Unternehmens für Cybersicherheitstechnologie NCS, wurde die Zugriffsberechtigung in der Vergangenheit von Schadsoftware ausgenutzt, die sich als Anwendungen staatlicher Behörden ausgab, um Telefone zu kontrollieren und Geld von Nutzern in Vietnam zu stehlen. In einigen Fällen verloren die Opfer sogar mehr als 2 Milliarden VND innerhalb weniger Minuten. Diese Schadsoftware kann nur auf Android-Geräten mit Version 12 oder älter eindringen. Auf Geräten mit Android 13 oder 14 wird sie von den eingeschränkten Einstellungen erkannt und blockiert.
Die neue Technik der Hacker von SecuriDropper besteht darin, den Installationsprozess in mehrere Schritte zu unterteilen. Zunächst wird eine gefälschte Software – ohne besondere Berechtigungen – auf dem Gerät des Opfers installiert. Anschließend ruft diese Software Android-APIs auf, um eine Google Play-Installationssitzung vorzutäuschen. Dadurch kann sie Schadsoftware auf dem Telefon installieren und die eingeschränkten Einstellungen umgehen.
Die Penetrationsmethode von SecuriDropper umging die Sicherheitsbarrieren von Android 14.
Die Schadsoftware kann nun Berechtigungen für Bedienungshilfen und Benachrichtigungen anfordern, ohne vom Betriebssystem erkannt und blockiert zu werden. Selbst Nutzer, die auf die neueste Android-Version 14 aktualisiert haben, können mit dieser Methode weiterhin von Schadsoftware angegriffen werden.
ThreatFabric, ein Cybersicherheitsunternehmen aus den Niederlanden, gab an, beobachtet zu haben, wie Banking-Trojaner wie SpyNote und ERMAC über SecuriDropper auf Phishing-Websites und Drittanbieterplattformen wie Discord verbreitet werden.
In einer Stellungnahme gegenüber The Hacker News erklärte Google, dass die eingeschränkten Einstellungen eine zusätzliche Schutzebene über die Nutzerzustimmung hinaus bieten, die für den Zugriff von Apps auf Android-Einstellungen und -Berechtigungen erforderlich ist. Nutzer sind außerdem durch Google Play Protect geschützt, das Apps, die sich auf Android-Geräten mit Google Play-Diensten gefährlich verhalten, warnen oder blockieren kann. Google überprüft kontinuierlich Angriffsmethoden und verbessert die Android-Sicherheit gegen Malware, um die Sicherheit der Nutzer zu gewährleisten.
Um sich vor Angriffen zu schützen, rät Herr Vu Ngoc Son Android-Nutzern, das Herunterladen von APK-Dateien aus nicht vertrauenswürdigen Quellen zu vermeiden.
Quellenlink
Kommentar (0)