Gli esperti di cybersecurity di ThreatFabric hanno messo in luce un nuovo servizio di dropper per Android chiamato SecuriDropper, che riesce a bypassare le nuove restrizioni di sicurezza imposte da Google per consegnare malware sui dispositivi compromessi. I malware dropper su Android sono progettati per funzionare come un condotto per installare un payload su un dispositivo compromesso, rendendolo un modello di business redditizio per gli attori della minaccia, che possono pubblicizzare le capacità ad altri gruppi criminali.
Tattiche evasive e innovazione continua
SecuriDropper si distingue per l’implementazione tecnica della sua procedura di installazione. A differenza dei suoi predecessori, questa famiglia utilizza una diversa API di Android per installare il nuovo payload, imitando il processo utilizzato dai marketplace per installare nuove applicazioni. Questo comporta la richiesta di permessi per leggere e scrivere dati su memorie esterne, nonché installare e cancellare pacchetti, spesso sotto mentite spoglie di applicazioni innocue.
L’inganno del pulsante “Reinstalla”
In una seconda fase, l’installazione del payload maligno è facilitata invitando le vittime a cliccare su un pulsante “Reinstalla” nell’app per risolvere un presunto errore di installazione. ThreatFabric ha osservato trojan bancari Android come SpyNote e ERMAC distribuiti tramite SecuriDropper su siti ingannevoli e piattaforme di terze parti come Discord.
Zombinder: un altro servizio di dropper
Un altro servizio di dropper che è stato avvistato offrendo un bypass simile delle Restricted Settings è Zombinder, uno strumento di binding APK che si sospettava fosse stato chiuso all’inizio di quest’anno. Non è attualmente chiaro se esista una connessione tra i due strumenti.
La corsa all’armamento digitale
Con ogni nuova iterazione di Android che alza l’asticella, anche i criminali informatici si adattano e innovano. Le piattaforme di Dropper-as-a-Service (DaaS) sono emerse come strumenti potenti, permettendo agli attori malevoli di infiltrarsi nei dispositivi per distribuire spyware e trojan bancari.