В этом блоге мы рассмотрим, как атакующие злоумышленники обходят меру защиты "Ограниченные настройки", введенную Google в Android 13 для защиты от вредоносных программ, и подробно рассмотрим SecuriDropper - первый пример широко распространенного дроппера, обходящего эту меру защиты.
SecuriDropper
Dropper-as-a-Service (DaaS) - это разновидность сервиса, набирающего все большую популярность в киберподполье. DaaS предлагает двухэтапный процесс заражения, что в случае с SecuriDropper позволяет злоумышленникам обходить любые защитные решения, включая "Ограниченные настройки" Android 13, и оставаться незамеченными.
На первом этапе распространяется безобидное на первый взгляд приложение, часто замаскированное под легитимное, которое выступает в роли дроппера. Дроппер отвечает за установку на устройство жертвы вторичной полезной нагрузки, как правило, вредоносного ПО (шпионских программ или банковских троянцев). Такое разделение задач создает дополнительный уровень сложности атаки, затрудняя обнаружение и предотвращение вредоносной активности средствами защиты.
Отличительной особенностью SecuriDropper является техническая реализация процедуры его установки. В отличие от своих предшественников, данное семейство использует для установки новой полезной нагрузки другой API Android, имитируя процесс, используемый маркетплейсами для установки новых приложений.
Таким образом, операционная система не может отличить приложение, установленное дроппером, от приложения с маркетплейса и позволяет полезной нагрузке обойти функцию "Ограниченные настройки" в Android 13.
Indicators of Compromise
SHA256
- 13daf7b94124c142d509b036516eb3d532c22696574d8cd5d65aa9d636c293a9
- 22630eee4fdf1958e6c98721f0ccc522b2413a6f6c49f315f34c45726bf18b2d
- 2f64dd679494bdfba962bdc8ec6fb5e13ec4c754f12d494291442dc3e4862a93
- 68234450d90668909697893a76fc4a0791b35ba3f7bfc4d9d14f2866706019f3
