Selon The Hacker News, le malware Android dropper est conçu pour servir de canal d'installation de code malveillant sur les appareils, ce qui en fait un modèle commercial lucratif pour les attaquants, tout en faisant connaître cette capacité à d'autres groupes criminels.

Les paramètres restreints sont une fonctionnalité de sécurité introduite dans Android 13 pour empêcher les applications ne provenant pas du Google Play Store d'accéder à l'écouteur d'accessibilité et de notification. Si une application demande ces autorisations, les paramètres restreints avertiront immédiatement et empêcheront les utilisateurs d'accorder ces autorisations à l'application.

Selon M. Vu Ngoc Son, directeur technique de la société nationale vietnamienne de technologie de cybersécurité NCS, l'accessibilité est le droit qui a été utilisé par une série de logiciels malveillants se faisant passer pour des applications appartenant à des agences d'État pour contrôler les téléphones et voler de l'argent aux utilisateurs au Vietnam ces derniers temps, même dans les cas où les victimes ont perdu plus de 2 milliards de VND en quelques minutes seulement. Ces logiciels malveillants ne peuvent pénétrer que les téléphones Android 12 et inférieurs, tandis qu'avec les téléphones Android 13 ou 14, ils seront détectés et bloqués par les paramètres restreints.

Cependant, la nouvelle technique appliquée par les pirates dans SecuriDropper consiste à diviser l'installation en plusieurs étapes. Tout d’abord, un faux logiciel – qui ne nécessite pas d’autorisations spéciales – est installé sur la machine de la victime. Ensuite, le logiciel appellera les API Android pour simuler une session d'installation de Google Play, lui permettant d'installer des logiciels malveillants sur le téléphone et de contourner les paramètres restreints.

Le logiciel malveillant peut désormais demander des autorisations d'accessibilité et d'écoute de notifications sans être détecté et bloqué par le système d'exploitation. Même les utilisateurs qui ont mis à niveau vers la dernière version d'Android 14 peuvent toujours être attaqués par des logiciels malveillants en utilisant cette méthode.

ThreatFabric, une société de cybersécurité des Pays-Bas, a déclaré avoir observé des chevaux de Troie bancaires comme SpyNote et ERMAC distribués via SecuriDropper sur des sites Web de phishing et des plateformes tierces comme Discord.

En réponse à The Hacker News , Google a déclaré que les paramètres restreints ajouteraient une couche de protection supplémentaire au-delà de la confirmation de l'utilisateur, qui est nécessaire pour que les applications puissent accéder aux paramètres/autorisations Android. Les utilisateurs sont également protégés par Google Play Protect, qui peut avertir ou bloquer les applications qui se comportent de manière dangereuse sur les appareils Android utilisant les services Google Play. Google examine en permanence les vecteurs d'attaque et améliore les défenses d'Android contre les logiciels malveillants pour aider à assurer la sécurité des utilisateurs.

Pour se protéger des attaques, M. Vu Ngoc Son conseille aux utilisateurs d'Android d'éviter de télécharger des fichiers APK à partir de sources non fiables.