Вредоносное ПО SecuriDropper «обходит» барьеры безопасности на телефонах Android

По данным The Hacker News, вредоносное ПО Android-дроппер предназначено для использования в качестве канала для установки вредоносного кода на устройства, что делает его прибыльной бизнес-моделью для злоумышленников, а также рекламирует эту возможность другим преступным группировкам.

Ограниченные настройки — это функция безопасности, представленная в Android 13, которая запрещает приложениям, не представленным в магазине Google Play, доступ к разделу «Специальные возможности и прослушиватель уведомлений». Если приложение запрашивает эти разрешения, функция «Ограниченные настройки» немедленно выдаст предупреждение и запретит пользователям предоставлять эти разрешения приложению.

По словам г-на Ву Нгок Сона, технического директора Вьетнамской национальной компании по кибербезопасности (NCS), доступность — это право, которое в прошлом использовалось рядом вредоносных программ, выдававших себя за приложения государственных органов, для управления телефонами и кражи денег у пользователей во Вьетнаме. В некоторых случаях жертвы теряли более 2 миллиардов донгов всего за несколько минут. Эти вредоносные программы способны проникать только на телефоны Android 12 и ниже, в то время как на устройствах Android 13 и 14 они обнаруживаются и блокируются с помощью функции «Ограниченные настройки».

Однако новый метод, используемый хакерами в SecuriDropper, заключается в том, чтобы разбить процесс установки на несколько этапов. Сначала на устройство жертвы обманным путём устанавливается поддельное ПО без специальных разрешений. Затем программа обращается к API Android, чтобы подделать сеанс установки из Google Play, что позволяет установить вредоносное ПО на телефон и обойти ограниченные настройки.

Вредоносное ПО теперь может запрашивать разрешения Accessibility and Notification Listener, не будучи обнаруженным и заблокированным операционной системой. Даже пользователи, обновившиеся до последней версии Android 14, по-прежнему могут быть атакованы вредоносным ПО, использующим этот метод.

Нидерландская компания ThreatFabric, занимающаяся кибербезопасностью, заявила, что обнаружила банковские трояны, такие как SpyNote и ERMAC, распространяемые через SecuriDropper на фишинговых сайтах и ​​сторонних платформах, таких как Discord.

В ответ на The Hacker News компания Google заявила, что «Ограниченные настройки» добавят дополнительный уровень защиты помимо согласия пользователя, необходимого для доступа приложений к настройкам/разрешениям Android. Пользователи также защищены Google Play Protect, который может предупреждать или блокировать приложения, ведущие себя опасно на устройствах Android, используя сервисы Google Play. Google постоянно анализирует векторы атак и совершенствует защиту Android от вредоносных программ, чтобы обеспечить безопасность пользователей.

Чтобы защитить себя от атак, г-н Ву Нгок Сон советует пользователям Android избегать загрузки APK-файлов из ненадежных источников.