Selon The Hacker News, les logiciels malveillants de type « dropper » pour Android sont conçus pour servir de vecteur d'installation de code malveillant sur les appareils, ce qui en fait un modèle commercial lucratif pour les attaquants, et leur permet également de faire connaître cette capacité à d'autres groupes criminels.
Les paramètres restreints sont une fonctionnalité de sécurité introduite dans Android 13 pour empêcher les applications non disponibles sur le Google Play Store d'accéder aux autorisations d'accessibilité et d'écoute des notifications. Si une application demande ces autorisations, les paramètres restreints avertissent immédiatement l'utilisateur et l'empêchent de les lui accorder.
Selon M. Vu Ngoc Son, directeur technique de NCS (Vietnam National Cyber Security Technology Company), l'accès à Internet est une faille exploitée par de nombreux logiciels malveillants usurpant l'identité d'agences d'État pour contrôler des téléphones et dérober de l'argent aux utilisateurs vietnamiens. Dans certains cas, les victimes ont perdu plus de 2 milliards de dongs en quelques minutes seulement. Ces logiciels malveillants ne peuvent infecter que les téléphones Android 12 ou versions antérieures ; sur les appareils Android 13 ou 14, ils sont détectés et bloqués par les paramètres de restriction.
Cependant, la nouvelle technique utilisée par les pirates de SecuriDropper consiste à décomposer le processus d'installation en plusieurs étapes. Tout d'abord, un faux logiciel, dépourvu d'autorisations spéciales, est installé par ruse sur l'appareil de la victime. Ensuite, ce logiciel utilise les API Android pour simuler une session d'installation Google Play, ce qui lui permet d'installer un logiciel malveillant sur le téléphone et de contourner les paramètres de sécurité.
La méthode d'intrusion de SecuriDropper a contourné les barrières de sécurité d'Android 14.
Le logiciel malveillant peut désormais demander les autorisations d'accessibilité et d'écoute des notifications sans être détecté ni bloqué par le système d'exploitation. Même les utilisateurs ayant effectué la mise à jour vers Android 14 peuvent encore être victimes de ce type d'attaque.
ThreatFabric, une entreprise de cybersécurité néerlandaise, a déclaré avoir observé des chevaux de Troie bancaires comme SpyNote et ERMAC distribués via SecuriDropper sur des sites web d'hameçonnage et des plateformes tierces comme Discord.
En réponse à The Hacker News , Google a déclaré que les paramètres restreints ajouteront une couche de protection supplémentaire au-delà du consentement de l'utilisateur, requis pour que les applications puissent accéder aux paramètres et autorisations Android. Les utilisateurs sont également protégés par Google Play Protect, qui peut avertir ou bloquer les applications présentant un comportement dangereux sur les appareils Android utilisant les services Google Play. Google examine constamment les vecteurs d'attaque et améliore les défenses d'Android contre les logiciels malveillants afin de garantir la sécurité des utilisateurs.
Pour se protéger des attaques, M. Vu Ngoc Son conseille aux utilisateurs d'Android d'éviter de télécharger des fichiers APK provenant de sources non fiables.
Lien source
Comment (0)