По данным The Hacker News, вредоносное ПО Android-дроппер предназначено для использования в качестве канала для установки вредоносного кода на устройства, что делает его прибыльной бизнес-моделью для злоумышленников, а также рекламирует эту возможность другим преступным группировкам.
Ограниченные настройки — это функция безопасности, представленная в Android 13, которая запрещает приложениям, не имеющим доступа к Google Play, доступ к функции «Специальные возможности и прослушиватель уведомлений». Если приложение запрашивает эти разрешения, Ограниченные настройки немедленно выдадут предупреждение и запретят пользователям предоставлять эти разрешения приложению.
По словам г-на Ву Нгок Сона, технического директора Вьетнамской национальной компании по кибербезопасности (NCS), доступность — это право, которое ранее использовалось рядом вредоносных программ, выдававших себя за приложения государственных органов, для управления телефонами и кражи денег у пользователей во Вьетнаме, даже в случаях, когда жертвы теряли более 2 миллиардов донгов всего за несколько минут. Эти вредоносные программы могут проникать только на телефоны с Android 12 и ниже, в то время как на устройствах с Android 13 или 14 они обнаруживаются и блокируются с помощью функции «Ограниченные настройки».
Однако новый метод, используемый хакерами в SecuriDropper, заключается в том, чтобы разбить процесс установки на несколько этапов. Сначала на устройство жертвы обманным путём устанавливается поддельное ПО без специальных разрешений. Затем программа обращается к API Android, чтобы подделать сеанс установки из Google Play, что позволяет установить вредоносное ПО на телефон и обойти ограниченные настройки.
Метод проникновения SecuriDropper обошел барьеры безопасности Android 14
Вредоносное ПО теперь может запрашивать разрешения Accessibility and Notification Listener, не будучи обнаруженным и заблокированным операционной системой. Даже пользователи, обновившиеся до последней версии Android 14, по-прежнему могут быть атакованы вредоносным ПО, использующим этот метод.
Нидерландская компания ThreatFabric, занимающаяся кибербезопасностью, заявила, что обнаружила банковские трояны, такие как SpyNote и ERMAC, распространяемые через SecuriDropper на фишинговых сайтах и сторонних платформах, таких как Discord.
В ответ на сообщение The Hacker News компания Google заявила, что «Ограниченные настройки» добавят дополнительный уровень защиты помимо согласия пользователя, необходимого для доступа приложений к настройкам/разрешениям Android. Пользователи также защищены Google Play Protect, который может предупреждать или блокировать приложения, ведущие себя опасно на устройствах Android, используя сервисы Google Play. Google постоянно анализирует векторы атак и совершенствует защиту Android от вредоносных программ, чтобы обеспечить безопасность пользователей.
Чтобы защитить себя от атак, г-н Ву Нгок Сон советует пользователям Android избегать загрузки APK-файлов из ненадежных источников.
Ссылка на источник
Комментарий (0)