Wykryto nową operację cyberprzestępczą o nazwie „SecuriDropper” wykorzystującą metodę omijającą funkcję „Ustawienia z ograniczeniami” na urządzeniach z systemem Android w celu zainstalowania złośliwego oprogramowania i uzyskania dostępu do usług ułatwień dostępu.

Metoda stosowana przez cyberprzestępców jest nadal obecna w systemie Android 14 i wykorzystuje oparty na sesji interfejs API instalacji dla złośliwych plików APK (pakietu Androida), który instaluje je w wielu krokach, obejmujących „pakiet podstawowy” i różne „podzielone” pliki danych, stwierdził raport Bleeping Computer.

Stwierdzono, że złośliwe oprogramowanie infekuje urządzenia z Androidem, korzystając z legalnych aplikacji, często podszywając się pod aplikację Google, aktualizację Androida, odtwarzacz wideo, aplikację zabezpieczającą lub grę, aby przygotować podwaliny pod drugi ładunek, który ma zostać dostarczony na urządzenia. Drugi ładunek zawiera złośliwe oprogramowanie.

Drugi etap dostarczania szkodliwego oprogramowania obejmuje oszukiwanie użytkowników poprzez nakłanianie ich do kliknięcia przycisku „Zainstaluj ponownie” po wyświetleniu fałszywego komunikatu o błędzie dotyczącym instalacji plików APK.

(Aby uzyskać najważniejsze wiadomości technologiczne dnia, zapisz się do naszego biuletynu technicznego Today’s Cache)

Po zainfekowaniu złośliwe oprogramowanie może nadużywać ustawień dostępności w celu przechwytywania tekstu wyświetlanego na ekranie, przyznawania dodatkowych uprawnień i zdalnego wykonywania czynności nawigacyjnych. Szkodnik może również wykorzystywać odbiornik powiadomień do kradzieży haseł jednorazowych.

Ograniczone ustawienia zostały wprowadzone w systemie Android 13 i mają na celu uniemożliwienie aplikacjom ładowanym z boku (aplikacjom, które nie są dostępne w sklepie Google Platy i są instalowane przy użyciu plików APK) dostępu do zaawansowanych funkcji, takich jak ustawienia dostępności i odbiornik powiadomień. Dostęp do tych funkcji jest często wykorzystywany przez złośliwe oprogramowanie w celu naruszenia bezpieczeństwa urządzeń z systemem Android.

Stwierdzono również, że cyberprzestępca wykorzystywał usługę Android Dropper-as-a-Service. Droppery dla Androida utrudniają wykrycie złośliwego oprogramowania na etapie pobierania i neutralizują mechanizmy obronne systemu przed zainstalowaniem złośliwego oprogramowania. Pomaga to złośliwemu oprogramowaniu uzyskać dostęp do ustawień i uprawnień, w przeciwnym razie dostęp do niego zostałby zablokowany.

Aby chronić się przed takimi atakami, użytkownikom Androida zaleca się unikanie pobierania plików APK z nieznanych źródeł lub wydawców, którym nie ufają. Użytkownicy mogą dodatkowo sprawdzić uprawnienia przyznane zainstalowanym aplikacjom i je cofnąć. Użytkownicy mogą uzyskać dostęp do ustawień uprawnień, wybierając Ustawienia, a następnie Aplikacja, wybierając aplikację i przeglądając uprawnienia aplikacji.