Google ha rilasciato Android 13 ad agosto e gli hacker hanno già messo gli occhi per aggirare le ultime misure di sicurezza dell’azienda. Un team di ricercatori ha trovato un malware in fase di sviluppo che utilizza una nuova tecnica per eludere le nuove restrizioni di Google su quali app possono accedere ai servizi di accessibilità. L’uso improprio dei servizi di accessibilità rende più facile per il malware snobbare le password e i dati privati, ed è quindi una delle vie di accesso più utilizzate dai malintenzionati su Android. Per capire cosa sta accadendo, prima di immergerci nelle nuove misure di sicurezza di Android 13, è necessario esaminare le nuove misure di sicurezza. Android 13 non consente più alle app caricate lateralmente di richiedere l’accesso ai servizi di accessibilità, a meno che non si faccia di tutto per concedere l’autorizzazione all’app in questione utilizzando un complicato workaround. Questo è stato pensato come protezione contro il malware che qualcuno inesperto potrebbe aver scaricato inavvertitamente da un sito esterno al Play Store, come un losco scanner di codici QR. Un’applicazione di questo tipo di solito chiede agli utenti di consentirle di utilizzare i servizi di accessibilità, ma questa opzione non è più disponibile per le applicazioni provenienti da app store esterni.
Dato che i servizi di accessibilità sono un’opzione legittima per le app che vogliono rendere i telefoni più accessibili a chi ne ha bisogno, Google non vuole però vietare del tutto l’accesso ai servizi di accessibilità per tutte le app. Le applicazioni scaricate dal Play Store sono esenti da questo blocco, e lo stesso vale per qualsiasi app scaricata tramite un altro app store di terze parti diverso dal Play Store (si pensi a F-Droid o Amazon App Store). Questo avviene esentando le app installate tramite l’API di installazione dei pacchetti basata sulla sessione dal blocco dei servizi di accessibilità. Il ragionamento di Google è che gli app store di solito controllano le applicazioni che offrono, per cui esiste già una linea di difesa. Questa esenzione è esattamente ciò che gli hacker stanno sfruttando nell’ultimo exploit. Come riportato da ThreatFabric, gli sviluppatori di malware del gruppo Hadoken stanno lavorando a un nuovo exploit che si basa su un vecchio malware che utilizza i servizi di accessibilità per ottenere informazioni sui dati personali. Poiché la concessione dell’accessibilità alle app caricate lateralmente è più difficile su Android 13, il nuovo malware si presenta in due parti. La prima applicazione che l’utente installa è il “dropper” che agisce come un app store, utilizzando la stessa API di installazione dei pacchetti basata sulla sessione per installare il malware vero e proprio senza le restrizioni sull’attivazione dei servizi di accessibilità.
Sebbene il malware possa ancora chiedere agli utenti di attivare i servizi di accessibilità per le app caricate lateralmente, il workaround per attivarli è significativo. È più facile ingannare gli utenti e indurli ad attivare i servizi di accessibilità con un solo tocco, cosa che questo nuovo duplice attacco riesce a fare. ThreatFabric fa notare che il malware è ancora nelle prime fasi di sviluppo e che, a questo punto, è ancora incredibilmente buggato e difficile. Per questo motivo la società ha deciso di chiamare il nuovo malware “BugDrop”, in quanto non è ancora all’altezza del resto del codice del gruppo di hacker. In precedenza, il gruppo Hadoken aveva creato un altro progetto di dropper chiamato Gymdrop, che serve anche a distribuire altro malware. Il gruppo ha inoltre creato un malware bancario chiamato Xenomorph. In tutti questi casi, i servizi di accessibilità sono l’anello debole, quindi, qualunque cosa facciate, non concedete a un’app il permesso di utilizzare i servizi di accessibilità se non è un’app di accessibilità (Tasker è un’eccezione).
