Вредоносное ПО SecuriDropper «обходит» барьеры безопасности на телефонах Android

По данным The Hacker News, вредоносное ПО Android-дроппер предназначено для установки вредоносного кода на устройства, что делает его прибыльной бизнес-моделью для злоумышленников, а также рекламирует эту возможность другим преступным группам.

Ограниченные настройки — это функция безопасности, представленная в Android 13, которая запрещает приложениям, не входящим в магазин Google Play, получать доступ к функциям специальных возможностей и прослушивателя уведомлений. Если будет обнаружено, что приложение запрашивает эти разрешения, Restricted Settings немедленно выдаст предупреждение и запретит пользователям предоставлять эти разрешения приложению.

По словам г-на Ву Нгок Сона, технического директора Вьетнамской национальной компании по технологиям кибербезопасности NCS, доступность — это право, которое в последнее время использовалось рядом вредоносных программ, выдававших себя за приложения государственных учреждений, для управления телефонами и кражи денег у пользователей во Вьетнаме, даже в случаях, когда жертвы теряли более 2 миллиардов донгов всего за несколько минут. Эти вредоносные программы могут проникать только в телефоны на базе Android 12 и ниже, тогда как на телефонах с Android 13 или 14 они будут обнаружены и заблокированы с помощью настроек ограничения.

Однако новый прием, применяемый хакерами в SecuriDropper, заключается в разбиении установки на несколько этапов. Сначала на компьютер жертвы обманным путем устанавливается поддельное программное обеспечение, не требующее специальных разрешений. Затем программное обеспечение обращается к API Android, чтобы имитировать сеанс установки Google Play, что позволяет ему установить вредоносное ПО на телефон и обойти ограниченные настройки.

Теперь вредоносная программа может запрашивать разрешения на доступ и прослушивание уведомлений, не будучи обнаруженной и заблокированной операционной системой. Даже пользователи, обновившиеся до последней версии Android 14, по-прежнему могут подвергнуться атакам вредоносного ПО, использующего этот метод.

Нидерландская компания по кибербезопасности ThreatFabric заявила, что обнаружила банковские трояны, такие как SpyNote и ERMAC, распространяемые через SecuriDropper на фишинговых сайтах и ​​сторонних платформах, таких как Discord.

В ответ на сообщение The Hacker News компания Google заявила, что ограниченные настройки добавят дополнительный уровень защиты помимо подтверждения пользователя, которое требуется приложениям для доступа к настройкам/разрешениям Android. Пользователи также защищены Google Play Protect, который может предупреждать или блокировать приложения, которые ведут себя опасно на устройствах Android с помощью сервисов Google Play. Google постоянно анализирует векторы атак и совершенствует защиту Android от вредоносных программ, чтобы обеспечить безопасность пользователей.

Чтобы защитить себя от атак, г-н Ву Нгок Сон советует пользователям Android избегать загрузки APK-файлов из ненадежных источников.