El malware SecuriDropper 'evita' las barreras de seguridad en los teléfonos Android

Según The Hacker News, el malware dropper para Android está diseñado para actuar como un conducto para instalar código malicioso en dispositivos, lo que lo convierte en un modelo de negocio lucrativo para los atacantes, además de publicitar esta capacidad a otros grupos delictivos.

La configuración restringida es una función de seguridad introducida en Android 13 para evitar que las aplicaciones que no son de la tienda Google Play accedan a Accesibilidad y al detector de notificaciones. Si se detecta que una aplicación solicita estos permisos, la Configuración restringida advertirá inmediatamente y evitará que los usuarios otorguen estos permisos a la aplicación.

Según el Sr. Vu Ngoc Son, Director Técnico de la Compañía Nacional de Tecnología de Seguridad Cibernética de Vietnam NCS, la accesibilidad es el derecho que ha sido utilizado por una serie de malware que se hace pasar por aplicaciones pertenecientes a agencias estatales para controlar teléfonos y robar dinero de los usuarios en Vietnam en los últimos tiempos, incluso en casos en que las víctimas perdieron más de 2 mil millones de VND en solo unos minutos. Estos malware solo pueden penetrar en teléfonos con Android 12 o anteriores, mientras que en los teléfonos con Android 13 o 14, serán detectados y bloqueados por la configuración restringida.

Sin embargo, la nueva técnica aplicada por los hackers en SecuriDropper es dividir la instalación en varios pasos. En primer lugar, se consigue instalar en la máquina de la víctima un software falso que no requiere permisos especiales. A continuación, el software llamará a las API de Android para simular una sesión de instalación de Google Play, lo que le permitirá instalar malware en el teléfono y eludir las configuraciones restringidas.

El malware ahora puede solicitar permisos de accesibilidad y escucha de notificaciones sin ser detectado ni bloqueado por el sistema operativo. Incluso los usuarios que se hayan actualizado a la última versión de Android 14 aún pueden ser atacados por malware utilizando este método.

ThreatFabric, una empresa de ciberseguridad de los Países Bajos, dijo que ha observado que troyanos bancarios como SpyNote y ERMAC se distribuyen a través de SecuriDropper en sitios web de phishing y plataformas de terceros como Discord.

En respuesta a The Hacker News , Google dijo que las configuraciones restringidas agregarán una capa adicional de protección más allá de la confirmación del usuario, que es necesaria para que las aplicaciones accedan a las configuraciones/permisos de Android. Los usuarios también están protegidos por Google Play Protect, que puede advertir o bloquear aplicaciones con comportamiento peligroso en dispositivos Android que utilizan los Servicios de Google Play. Google revisa constantemente los vectores de ataque y mejora las defensas de Android contra el malware para ayudar a mantener seguros a los usuarios.

Para mantenerse a salvo de ataques, el Sr. Vu Ngoc Son aconseja a los usuarios de Android que eviten descargar archivos APK de fuentes no confiables.