SecuriDropper es un Dropper-as-a-Service para Android que evita las defensas de Google
SecuriDropper para Android ayuda a los hackers a evitar las defensas de Google
Expertos en ciberseguridad han arrojado luz sobre un nuevo servicio conocido como SecuriDropper, que opera como un «entregador» (distributor) para Android y logra evadir las recientes restricciones de seguridad impuestas por Google para distribuir malware.
El malware «entregador» en Android está diseñado para servir como un conducto para instalar una carga maliciosa en un dispositivo comprometido, lo que lo convierte en un modelo de negocio lucrativo para actores de amenazas, quienes pueden promocionar sus habilidades a otros grupos delictivos.
Además, esto también permite a los adversarios separar el desarrollo y la ejecución de un ataque de la instalación del malware.
Una de las medidas de seguridad introducida por Google con Android 13 es lo que se conoce como «Configuraciones Restringidas», que impide que las aplicaciones instaladas desde fuentes externas obtengan permisos de Accesibilidad y Notificación, que a menudo son abusados por troyanos bancarios.
SecuriDropper tiene como objetivo sortear esta barrera sin ser detectado, con el entregador a menudo disfrazado como una aplicación que parece inofensiva. Algunos de los ejemplos observados en la naturaleza son los siguientes:
- com.appd.instll.load (Google)
- com.appd.instll.load (Google Chrome)
Específicamente, esto involucra solicitar permisos para leer y escribir datos en almacenamiento externo (READ_EXTERNAL_STORAGE y WRITE_EXTERNAL_STORAGE), así como instalar y desinstalar paquetes (REQUEST_INSTALL_PACKAGES y DELETE_PACKAGES).
En la segunda etapa, la instalación de la carga maliciosa se facilita al instar a las víctimas a hacer clic en un botón de «Reinstalación» en la aplicación para solucionar un supuesto error de instalación.
ThreatFabric informó que ha detectado troyanos bancarios de Android como SpyNote y ERMAC distribuidos a través de SecuriDropper en sitios web engañosos y plataformas de terceros como Discord.
Otro servicio de «entregador» que también se ha detectado ofreciendo una elusión similar de las «Configuraciones Restringidas» es Zombinder, una herramienta de unión de APK que se sospechaba que había sido cerrada a principios de este año. No está claro si hay alguna conexión entre las dos herramientas.
Actualización
Cuando se le consultó sobre los hallazgos más recientes, un vocero de Google compartió la siguiente declaración con The Hacker News: