Segundo o The Hacker News, o malware "dropper" para Android foi projetado para servir como um canal de instalação de código malicioso em dispositivos, tornando-se um modelo de negócio lucrativo para os atacantes, além de divulgar essa capacidade para outros grupos criminosos.
As Configurações Restritas são um recurso de segurança introduzido no Android 13 para impedir que aplicativos que não estão na Google Play Store acessem as permissões de Acessibilidade e de Ouvinte de Notificações. Se um aplicativo solicitar essas permissões, as Configurações Restritas exibirão um aviso imediatamente e impedirão que os usuários as concedam.
Segundo o Sr. Vu Ngoc Son, Diretor Técnico da Companhia Nacional de Tecnologia de Segurança Cibernética do Vietnã (NCS), o acesso é um direito que tem sido usado por uma série de malwares que se fazem passar por aplicativos pertencentes a agências estatais para controlar telefones e roubar dinheiro de usuários no Vietnã. Em alguns casos, as vítimas perderam mais de 2 bilhões de VND em poucos minutos. Esses malwares só conseguem infectar telefones com Android 12 ou inferior; em telefones com Android 13 ou 14, eles são detectados e bloqueados pelas Configurações Restritas.
No entanto, a nova técnica usada pelos hackers do SecuriDropper consiste em quebrar o processo de instalação em várias etapas. Primeiro, um software falso — sem permissões especiais — é enganado para ser instalado no dispositivo da vítima. Em seguida, o software acessa as APIs do Android para simular uma sessão de instalação do Google Play, permitindo a instalação de malware no telefone e a burla das Configurações Restritas.
O método de penetração do SecuriDropper contornou as barreiras de segurança do Android 14.
O malware agora consegue solicitar permissões de Acessibilidade e de Ouvinte de Notificações sem ser detectado e bloqueado pelo sistema operacional. Mesmo usuários que atualizaram para a versão mais recente do Android 14 ainda podem ser atacados por malware usando esse método.
A ThreatFabric, uma empresa de cibersegurança holandesa, afirmou ter observado a distribuição de trojans bancários como o SpyNote e o ERMAC através do SecuriDropper em sites de phishing e plataformas de terceiros como o Discord.
Em resposta ao The Hacker News , o Google afirmou que as Configurações Restritas adicionarão uma camada extra de proteção além do consentimento do usuário, necessário para que os aplicativos acessem as configurações/permissões do Android. Os usuários também são protegidos pelo Google Play Protect, que pode alertar ou bloquear aplicativos com comportamento suspeito em dispositivos Android que utilizam os Serviços do Google Play. O Google está constantemente revisando vetores de ataque e aprimorando as defesas do Android contra malware para ajudar a manter os usuários seguros.
Para se protegerem de ataques, o Sr. Vu Ngoc Son aconselha os usuários do Android a evitarem baixar arquivos APK de fontes não confiáveis.
Link da fonte
Comentário (0)