Los investigadores de ciberseguridad han arrojado luz sobre un nuevo cuentagotas como servicio (DaaS) para Android llamado SecuriDropper que elude las nuevas restricciones de seguridad impuestas por Google y entrega el malware.
El malware Dropper en Android está diseñado para funcionar como un conducto para instalar una carga útil en un dispositivo comprometido, lo que lo convierte en un modelo de negocio lucrativo para los actores de amenazas, que pueden anunciar sus capacidades a otros grupos criminales.
Es más, hacerlo también permite a los adversarios separar el desarrollo y la ejecución de un ataque de la instalación del malware.
«Los droppers y los actores detrás de ellos están en constante estado de evolución mientras se esfuerzan por burlar las cambiantes medidas de seguridad», dijo la firma holandesa de ciberseguridad ThreatFabric. dicho en un informe compartido con The Hacker News.
Una de esas medidas de seguridad introducida por Google con Android 13 es la llamada Configuración restringida, que evita que las aplicaciones descargadas obtengan permisos de accesibilidad y escucha de notificaciones, de los que a menudo abusan los troyanos bancarios.
SecuriDropper tiene como objetivo sortear esta barrera sin ser detectado, y el cuentagotas a menudo se disfraza de una aplicación aparentemente inofensiva. Algunas de las muestras observadas en la naturaleza son las siguientes:
- com.appd.instll.load (Google)
- com.appd.instll.load (Google Chrome)
«Lo que distingue a SecuriDropper es la implementación técnica de su procedimiento de instalación», explicó ThreatFabric.
«A diferencia de sus predecesoras, esta familia utiliza una API de Android diferente para instalar la nueva carga útil, imitando el proceso utilizado por los mercados para instalar nuevas aplicaciones».
Específicamente, esto implica solicitar permisos para leer y escribir datos en un almacenamiento externo (READ_EXTERNAL_STORAGE y ESCRIBIR_ALMACENAMIENTO_EXTERNO) así como instalar y eliminar paquetes (REQUEST_INSTALL_PACKAGES y ELIMINAR_PAQUETES).
En la segunda etapa, la instalación de la carga maliciosa se facilita instando a las víctimas a hacer clic en el botón «Reinstalar» de la aplicación para resolver un supuesto error de instalación.
ThreatFabric dijo que ha observado troyanos bancarios de Android como SpyNote y ERMAC distribuidos a través de SecuriDropper en sitios web engañosos y plataformas de terceros como Discord.
Otro servicio de cuentagotas que también se ha detectado que ofrece una omisión similar de configuraciones restringidas es Zombinder, una herramienta de vinculación de APK que se sospechaba que se cerró a principios de este año. Actualmente no está claro si existe alguna conexión entre las dos herramientas.
«A medida que Android continúa elevando el listón con cada iteración, los ciberdelincuentes también se adaptan e innovan», dijo la compañía. «Las plataformas Dropper-as-a-Service (DaaS) han surgido como herramientas potentes que permiten a actores maliciosos infiltrarse en dispositivos para distribuir software espía y troyanos bancarios».
Actualizar
Cuando se le contactó para comentar sobre los últimos hallazgos, un portavoz de Google compartió la siguiente declaración con The Hacker News:
Las configuraciones restringidas agregan una capa adicional de protección además de la confirmación del usuario que se requiere para que las aplicaciones accedan a la configuración/permisos de Android. Como protección principal, los usuarios de Android siempre están en control de qué permisos otorgan a una aplicación. Los usuarios también están protegidos por Proteger Google Play, que puede advertir a los usuarios o bloquear aplicaciones que se sabe que exhiben comportamientos maliciosos en dispositivos Android con Servicios de Google Play. Revisamos constantemente los métodos de ataque y mejoramos las defensas de Android contra el malware para ayudar a mantener seguros a los usuarios.