Laut The Hacker News ist die Android-Dropper-Malware darauf ausgelegt, als Kanal für die Installation von Schadcode auf Geräten zu fungieren, was sie für Angreifer zu einem lukrativen Geschäftsmodell macht und diese Fähigkeit auch anderen kriminellen Gruppen bekannt macht.

„Eingeschränkte Einstellungen“ ist eine Sicherheitsfunktion, die in Android 13 eingeführt wurde, um zu verhindern, dass Apps, die nicht aus dem Google Play Store stammen, auf die Bedienungshilfen und den Benachrichtigungs-Listener zugreifen. Wenn festgestellt wird, dass eine App diese Berechtigungen anfordert, wird der Benutzer durch die eingeschränkten Einstellungen sofort gewarnt und daran gehindert, der App diese Berechtigungen zu erteilen.

Laut Herrn Vu Ngoc Son, Technischer Direktor des vietnamesischen nationalen Cybersicherheitstechnologieunternehmens NCS, ist Barrierefreiheit das Recht, das in jüngster Zeit von einer Reihe von Schadsoftware missbraucht wurde, die sich als Anwendungen staatlicher Behörden ausgab, um Telefone zu kontrollieren und den Nutzern in Vietnam Geld zu stehlen. Dabei kam es sogar zu Fällen, in denen die Opfer innerhalb weniger Minuten mehr als 2 Milliarden VND verloren. Diese Malware kann nur in Telefone mit Android 12 und niedriger eindringen, während sie bei Telefonen mit Android 13 oder 14 durch die eingeschränkten Einstellungen erkannt und blockiert wird.

Die neue Technik, die die Hacker in SecuriDropper anwenden, besteht jedoch darin, die Installation in mehrere Schritte aufzuteilen. Zunächst wird eine gefälschte Software – für die keine besonderen Berechtigungen erforderlich sind – durch einen Trick auf dem Computer des Opfers installiert. Als Nächstes ruft die Software Android-APIs auf, um eine Google Play-Installationssitzung vorzutäuschen. Dadurch kann sie Malware auf dem Telefon installieren und eingeschränkte Einstellungen umgehen.

Die Malware kann jetzt Berechtigungen für die Zugänglichkeit und den Benachrichtigungs-Listener anfordern, ohne vom Betriebssystem erkannt und blockiert zu werden. Selbst Benutzer, die auf das neueste Android 14 aktualisiert haben, können mit dieser Methode immer noch von Malware angegriffen werden.

ThreatFabric, ein Cybersicherheitsunternehmen aus den Niederlanden, gab an, beobachtet zu haben, dass Banking-Trojaner wie SpyNote und ERMAC über SecuriDropper auf Phishing-Websites und Drittanbieterplattformen wie Discord verbreitet werden.

Als Reaktion auf The Hacker News erklärte Google, dass durch die eingeschränkten Einstellungen eine zusätzliche Schutzebene über die Benutzerbestätigung hinaus hinzugefügt werde, die erforderlich sei, damit Apps auf Android-Einstellungen/Berechtigungen zugreifen können. Benutzer werden außerdem durch Google Play Protect geschützt, das Apps mit gefährlichem Verhalten auf Android-Geräten mithilfe von Google Play Services warnen oder blockieren kann. Google überprüft ständig die Angriffsmethoden und verbessert die Abwehrmechanismen von Android gegen Malware, um die Sicherheit der Benutzer zu gewährleisten.

Um sich vor Angriffen zu schützen, rät Herr Vu Ngoc Son Android-Benutzern, das Herunterladen von APK-Dateien aus nicht vertrauenswürdigen Quellen zu vermeiden.