Malware móvil SecuriDropper
Los expertos en ciberseguridad han presentado un novedoso servicio llamado SecuriDropper, que funciona como un 'dDopper-as-a-Service' (DaaS) para dispositivos Android. SecuriDropper está diseñado para eludir las últimas restricciones de seguridad implementadas por Google e implementa malware con éxito en dispositivos Android.
Un cuentagotas de malware en Android sirve como medio para facilitar la instalación de software amenazante en dispositivos comprometidos, creando un modelo de negocio rentable para personas relacionadas con el fraude. Estos actores de amenazas pueden comercializar sus capacidades a otras organizaciones criminales.
Además, este enfoque permite a los adversarios separar el desarrollo y la ejecución de un ataque de la instalación real del malware. El panorama de los goteros y las personas que los orquestan está en constante cambio a medida que se adaptan a las medidas de seguridad que evolucionan en contra.
SecuriDropper evita varias medidas de seguridad
Android 13 de Google ha introducido una función de seguridad conocida como "Configuración restringida". Esta función está diseñada para evitar que las aplicaciones descargadas adquieran permisos de accesibilidad y escucha de notificaciones, que los troyanos bancarios suelen aprovechar.
SecuriDropper ha sido diseñado para eludir esta protección sin despertar sospechas, a menudo haciéndose pasar por aplicaciones aparentemente inocuas. Algunos de los casos encontrados en la naturaleza incluyen:
com.appd.instll.load (Google)
com.appd.instll.load (Google Chrome)
Lo que distingue a SecuriDropper es su enfoque único en el proceso de instalación. A diferencia de sus predecesores, esta familia de malware emplea una API de Android alternativa para instalar la nueva carga útil, reflejando el proceso empleado por los mercados de aplicaciones legítimos para la instalación de nuevas aplicaciones. Esto implica solicitar permisos para leer y escribir datos en almacenamiento externo (READ_EXTERNAL_STORAGE y WRITE_EXTERNAL_STORAGE) y para instalar y eliminar paquetes (REQUEST_INSTALL_PACKAGES y DELETE_PACKAGES).
En la segunda etapa del ataque, se solicita a las víctimas que hagan clic en el botón "Reinstalar" dentro de la aplicación para solucionar un supuesto error de instalación, lo que facilita la instalación de la carga maliciosa.
Los investigadores han observado la distribución de troyanos bancarios para Android como SpyNote y ERMAC a través de SecuriDropper en sitios web engañosos y plataformas de terceros como Discord.
Los ciberdelincuentes están evolucionando sus herramientas amenazadoras
Ha salido a la luz otro servicio de cuentagotas, conocido como Zombinder, que ofrece una opción para evitar la función de configuración restringida. Zombinder es una herramienta de vinculación de APK que se creía que había sido cerrada a principios de este año. Sigue siendo incierto si existe algún vínculo entre estas dos herramientas.
A medida que Android continúa estableciendo estándares de seguridad más altos con cada nueva versión, los ciberdelincuentes se adaptan con la misma rapidez y encuentran nuevas soluciones. Las plataformas Dropper-as-a-Service (DaaS) se han convertido en instrumentos poderosos que permiten a personas relacionadas con el fraude violar dispositivos y distribuir software espía y troyanos bancarios.
