SecuriDropper zaobilazi Google odbranu
Sigurnosni istraživači su pronašli novi ubacivač kao servis (eng. dropper-as-a-service – DaaS) za Android pod nazivom SecuriDropper koji zaobilazi nova bezbjednosna ograničenja koja je nametnuo Google i isporučuje zlonamjerni softver.
UBACIVAČ
Ubacivači (eng. droppers) su posebna kategorija zlonamjernog softvera čija je glavna svrha instaliranje korisnog tereta na zaraženi uređaj. Upotreba ubacivača omogućava zlonamjernim akterima da odvoje razvoj i izvođenje napada od instalacije zlonamjernog softvera. Ovo takođe može biti poslovni poduhvat samo po sebi, jer se mnogi zlonamjerni akteri odlučuju da se fokusiraju na razvoj ubacivača koje se mogu prodati drugim zlonamjernim akterima kao dio onoga što se obično definiše kao zlonamjerni softver kao servis (eng. malvare-as-a-service – MaaS).
Zato uopšte nije čudno što su se Android ubacivači pojavili kao poželjan metod za postavljanje zlonamjernog softvera na uređaje korisnika koji ništa ne sumnjaju. Zlonamjerni akteri se fokusiraju sa sve više i više energije i napora na ovaj aspekt svojih strategija distribucije kako bi povećali svoj doseg što je više moguće.
GOOGLE ODBRANA
Kompanija Google je implementirala u Android 13 ograničenja privilegije datih aplikacijama sa strane, koju je nazvao “Ograničena podešavanja” (eng. Restricted Settings). Bočno učitane aplikacije su aplikacije koje se učitavaju na uređaj iz drugih izvora osim zvaničnih prodavnica aplikacija (kao što je Google Play prodavnica). Pošto aplikacije sa strane ne podliježu istim provjerama kao aplikacije koje se šalju za objavljivanje u zvaničnim prodavnicama aplikacija, ovaj metod učitavanja aplikacija na uređaje se smatra privlačnim za zlonamjerne aktere.
Ograničena podešavanja djeluju kao čuvar kapije, zabranjujući aplikacijama sa strane da direktno zahtevaju podešavanja pristupačnosti i pristup obavještenjima, dvije funkcije koje zlonamjerni softver često zloupotrebljava. Za aplikacije sa strane, unos u meniju Pristupačnost koji odgovara aplikaciji biće zasivljen i neće biti direktno dostupan, dok će korisnik dobiti upozorenje o ograničenim podešavanjima.
“Ograničena podešavanja dodaju dodatni sloj zaštite pored korisničke potvrde koja je potrebna da bi aplikacije pristupile Android podešavanjima/dozvolama. Kao osnovna zaštita, Android korisnici uvijek kontrolišu koje dozvole daju aplikaciji. Korisnici su takođe zaštićeni Google Play Protect-om, koji može da upozori korisnike ili blokira aplikacije za koje se zna da pokazuju zlonamjerno ponašanje na Android uređajima sa Google Play uslugama. Stalno preispitujemo metode napada i poboljšavamo Android odbranu od zlonamjernog softvera kako bismo zaštitili korisnike.”
U posljednje vrijeme primijećeno je da ubacivač kao servis pod nazivom SecuriDropper nudi zaobilazak “Ograničenih podešavanja”.
SECURIDROPPER
Ubacivač kao servis je vrsta usluge koja dobija prilično veliki zamah u sajber podzemlju, a zlonamjernim akterima nudi dvostepeni proces infekcije, koji u slučaju SecuriDropper zlonamjernog softvera omogućava zlonamjernim akterima da zaobiđu bilo koja bezbjednosna rješenja, uključujući “Ograničena podešavanja” Android 13, a da ne budu otkriveni.
Prva faza uključuje distribuciju naizgled bezopasne aplikacije, često prerušene u legitimnu aplikaciju, koja služi kao ubacivač. Ubacivač je odgovoran za instaliranje sekundarnog korisnog tereta, obično zlonamjernog softvera (špijunskog softvera ili bankarskih trojanaca), na uređaj žrtve. Ovo razdvajanje zadataka dodaje dodatni sloj složenosti napadu, što otežava bezbjednosnim mjerama da otkriju i spriječe zlonamjerne aktivnosti, zbog čeka u krajnjem slučaju operativni sistem ne može da razlikuje aplikaciju instaliranu pomoću ubacivača od one iz legitimne prodavnice i dozvoljava zlonamjernom softveru da zaobiđe “Ograničena podešavanja” u Android 13 operativnom sistemu.
ISPORUKA ZLONAMJERNOG SOFTVERA
Analizom korisnog tovara koji isporučuje SecuriDropper, sigurnosni istraživači su ustanovili isporuku dvije porodice zlonamjernog softvera: Špijunski softver i Bankarski trojanci.
Špijunski softver
Kada je u pitanju špijunski softver (eng. spyware), primijećen je porast isporuke SpyNote zlonamjernog softvera, poznatog špijunskog softvera sa moćnim mogućnostima trojanaca za daljinski pristup (RAT). Sigurnosni istraživači su otkrili kampanju uzoraka SpyNote distribuiranih preko phishing Internet lokacija, koje je dostavljao SecuriDropper. SpyNote zlonamjernom softveru su potrebne dozvole AccessibilityService da bi funkcionisao, a koristi ih za preuzimanje osjetljivih informacija, uključujući tekstualne poruke, evidencije poziva, pa čak i snimke ekrana.
Bankarski trojanci
Drugi dio istrage je pokazao da se SecuriDropper koristi za distribuciju bankarskih trojanaca preko obmanjujućih Internet lokacija i platformi trećih strana. Ovi bankarski trojanci su eksplicitno dizajnirani da kradu finansijske informacije, budući da su u stanju da presretnu podatke za prijavu i mijenjaju transakcije, čime žrtve dovode u opasnost od značajnih finansijskih gubitaka.
Zanimljivo je otkriće zlonamjernog softvera Ermac, značajnog igrača u domenu bankarskih trojanaca. Ono što izdvaja ovo otkriće je primjena Ermac uzoraka preko Discord platforme, nadaleko poznatog i legitimnog kanala komunikacije, koji prvenstveno koriste igrači i različite Internet zajednice. Discord, slično kao i GitHub repozitorijumi, često je prenamenjen od svoje predviđene upotrebe od strane zlonamjernih aktera unutar Android ekosistema kao kanala distribucije za svoje zlonamjerne eksploatacije, naglašavajući prilagodljivost zlonamjernih aktera.
Ova kampanja započinje svoju prvu fazu distribucije preko Discord platforme, gdje korisnici nesvjesno preuzimaju SecuriDropper. Nakon instalacije, upit poziva korisnike da “ponovno instaliraju” aplikaciju. Ako se korisnici povinuju i kliknu na dugme, ubacivač odmah ubacuje korisni teret. Nakon pokretanja korisnog tereta, pojavljuje se zahtev, ovog puta koji traži saglasnost korisnika da omogući AccessibilityService – često iskorišćena dozvola koju “Ograničena podešavanja” treba da uskrate ovim aplikacijama.
ZAKLJUČAK
Ovaj slučaj SecuriDropper zlonamjernog softvera koji zaobilazi ograničenja Android 13 pokazuje da kako Android nastavlja da podiže ljestvicu sa svakom novom verzijom operativnog sistema, zlonamjerni akteri se takođe prilagođavaju i stvaraju nove načine zloupotrebe.
Platforme koje nude ubacivač kao servis (DaaS) su se pojavile kao moćne alatke, omogućavajući zlonamjernim akterima da se infiltriraju na uređaje i izvrše distribuciju špijunskog softvera i bankarskih trojanaca. Ovi zlonamjerni sadržaji, kada se jednom oslobode, mogu ugroziti privatnost i finansijsku sigurnost korisnika.
Ovo je podsjetnik za sve organizacije koje se oslanjaju ili posluju putem mobilnih kanala da je od ključne važnosti da budu u toku sa razvojem.
ZAŠTITA
Kako bi se zaštitili, korisnici Android uređaja bi trebalo da vode računa o sljedećim preporukama:
- Redovno ažuriranje uređaja.
- Izbjegavanje bočnog učitavanja aplikacija iz nepouzdanih izvora.
- Oprez u pogledu neočekivanih zahteva za osjetljive dozvole.
- Ograničiti broj instaliranih aplikacija na uređaju samo na one koje će se koristiti.
- Prije instalacije aplikacija, korisnici bi trebalo da provjere njihovu ocjenu i recenzije u Google Play prodavnici, ali i na drugim relevantnim mjestima kombinovano.
- Korisnici bi trebalo da obrate pažnju na takozvane “ubačene” aplikacije, gdje zlonamjerni akteri naprave legitimnu aplikaciju, kako bi prošla sve bezbjednosne provjere na Google Play prodavnici, a nakon toga aplikacija dobija zlonamjerna ažuriranja sa servera koju kontrolišu zlonamjerni akteri.
- Korisnici bi trebalo da koriste neko od provjerenih Android sigurnosnih riješenja.
- Korisnici treba da provjere da li je omogućena opcija Google Play Protect i da je uključe ako je isključena.