Οι malware Android devs παρακάμπτουν ήδη μια νέα λειτουργία ασφαλείας «Restricted Setting» που εισήγαγε η Google στο Android 13.
Το Android 13 κυκλοφόρησε αυτήν την εβδομάδα, με το νέο λειτουργικό σύστημα να κυκλοφορεί σε συσκευές Google Pixel και τον πηγαίο κώδικα να δημοσιεύεται στο AOSP.
Ως μέρος αυτής της έκδοσης, η Google προσπάθησε να ακρωτηριάσει malware για android κινητά που προσπαθούσαν να εκμεταλλευτούν ισχυρά δικαιώματα Android, όπως το Accessibility Service, για να εκτελούν κακόβουλη συμπεριφορά στο παρασκήνιο.
Ωστόσο, οι αναλυτές της Threat Fabric λένε σήμερα ότι οι δημιουργοί κακόβουλου λογισμικού αναπτύσσουν ήδη Android malware droppers που μπορούν να παρακάμψουν αυτούς τους περιορισμούς και να παραδώσουν payloads που απολαμβάνουν υψηλά προνόμια στη συσκευή ενός χρήστη.
Σε προηγούμενες εκδόσεις Android, τα περισσότερα malware για κινητά βρήκαν τον δρόμο τους μέσα από εκατομμύρια συσκευές μέσω εφαρμογών dropper που είναι διαθέσιμες στο Play Store, οι οποίες μεταμφιέζονται ως νόμιμες εφαρμογές.
Κατά την εγκατάσταση, οι εφαρμογές Android malware προτρέπουν τους χρήστες να παραχωρήσουν πρόσβαση σε επικίνδυνα permissions και στη συνέχεια να φορτώσουν κακόβουλα payloads κάνοντας κατάχρηση των προνομίων του Accessibility Service.
Το Accesibility Service είναι ένα σύστημα βοήθειας για άτομα με αναπηρία που έχει καταχραστεί μαζικά στο Android που επιτρέπει στις εφαρμογές να πραγματοποιούν swipes και taps και να επιστρέφουν πίσω ή να επιστρέφουν στην αρχική οθόνη. Όλα αυτά γίνονται χωρίς τη γνώση ή την άδεια του χρήστη.
Συνήθως, το Android malware χρησιμοποιεί την υπηρεσία για να παραχωρήσει στον εαυτό του πρόσθετα δικαιώματα και να σταματήσει το θύμα από τη μη αυτόματη διαγραφή της κακόβουλης εφαρμογής.
Στο Android 13, οι μηχανικοί ασφαλείας της Google εισήγαγαν μια λειτουργία «Restricted Setting», η οποία αποκλείει τις εφαρμογές από το να ζητούν προνόμια του Accessibility Service, περιορίζοντας τη λειτουργία έτσι ώστε να αποδέχεται μόνο APK που προέρχονται από το Google Play.
Δείτε επίσης: 9 Σημάδια που δείχνουν ότι ο Η/Υ σας έχει μολυνθεί από spyware
Ωστόσο, οι ερευνητές της Threat Fabric μπόρεσαν να δημιουργήσουν ένα proof-of-concept dropper που παράκαμψε εύκολα αυτό το νέο χαρακτηριστικό ασφαλείας για να αποκτήσει πρόσβαση στο Accessibility Service.
Σε μια νέα αναφορά που κυκλοφόρησε σήμερα, η Threat Fabric ανακάλυψε ένα νέο Android malware dropper που προσθέτει ήδη νέες δυνατότητες για να παρακάμψει τη νέα δυνατότητα ασφαλείας Restricted Setting.
Ενώ παρακολουθούσε τις καμπάνιες Xenomorph Android malware, η Threat Fabric ανακάλυψε ένα νέο dropper που βρίσκεται ακόμη υπό ανάπτυξη. Αυτό το dropper ονομάστηκε “BugDrop” από τα πολλά ελαττώματα που μαστίζουν τη λειτουργία του σε αυτήν την πρώιμη φάση.
Αυτό το νέο Android malware dropper διαθέτει κώδικα παρόμοιο με το Brox, ένα πρόγραμμα εκμάθησης ανάπτυξης malware που διανέμεται ελεύθερα και κυκλοφορεί σε φόρουμ χάκερ, αλλά με μια τροποποίηση σε ένα string του installer function.
«Αυτό που μας τράβηξε την προσοχή είναι η παρουσία στον κώδικα Smali του string com.example.android.apis.content.SESSION_API_PACKAGE_INSTALLED», εξηγεί η Threat Fabric στην αναφορά.
«Αυτή η συμβολοσειρά, η οποία δεν υπάρχει στον αρχικό κώδικα Brox, αντιστοιχεί στην ενέργεια που απαιτείται από τις προθέσεις για τη δημιουργία μιας διαδικασίας εγκατάστασης ανά περίοδο λειτουργίας.»
Οι εφαρμογές τρίτων έχουν δύο μεθόδους εγκατάστασης άλλων εφαρμογών. Η πρώτη και πιο κοινή είναι η μέθοδος εγκατάστασης που δεν βασίζεται σε περιόδους λειτουργίας, η οποία ουσιαστικά παραδίδει την εγκατάσταση ενός μόνο αρχείου APK στο system package installer.
Η δεύτερη είναι η μέθοδος εγκατάστασης που βασίζεται σε περιόδους λειτουργίας, η οποία επιτρέπει στις εφαρμογές να δεσμεύουν την εγκατάσταση ενός ή περισσότερων αρχείων APK ταυτόχρονα. Χρησιμοποιείται συνήθως από εφαρμογές στο Play Store και επιτρέπει την εγκατάσταση πολλαπλών αρχείων APK με μία κίνηση, με εφαρμογές που διανέμονται ως ένα μόνο “βασικό” APK και πολλαπλά “διαχωρισμένα” APK.
Στο Android 13, η Google αποφάσισε να περιορίσει την πρόσβαση στo Accessibility Service και στο Notification Listener, δύο εξαιρετικά προνομιακά API, μόνο σε εφαρμογές που χρησιμοποιούν τη μέθοδο εγκατάστασης βάσει περιόδου λειτουργίας.
Δείτε επίσης: Facebook Messenger: Είναι ασφαλή τα μηνύματά σας;
Οι εφαρμογές που φορτώνονται μέσω της μεθόδου εγκατάστασης βάσει περιόδου λειτουργίας δεν θα βλέπουν το Restricted Setting και, ως εκ τούτου, οι χρήστες μπορούν να ενεργοποιήσουν τo Accessibility Service ή/και το Notification Listener.
Εάν τα droppers κακόβουλου λογισμικού όπως το BugDrop χρησιμοποιούν αυτήν τη μέθοδο εγκατάστασης για να φορτώσουν το malware payload, το Android 13 αναγνωρίζει τη χρήση του API και δεν εφαρμόζει τον περιορισμό.
«Όταν εφαρμοστεί πλήρως, αυτή η ελαφρά τροποποίηση θα παρακάμπτει πλήρως τα νέα μέτρα ασφαλείας της Google, ακόμη και προτού εφαρμοστούν αποτελεσματικά», σχολιάζει η Threat Fabric.
Το BugDrop είναι ακόμα ένα έργο σε εξέλιξη από μια ομάδα δημιουργών και χειριστών malware με το όνομα «Hakoden», οι οποίοι είναι επίσης υπεύθυνοι για τη δημιουργία του dropper Gymdrop και του τραπεζικού trojan Xenomorph Android.
Όταν το BugDrop είναι έτοιμο για μαζική ανάπτυξη, αναμένεται να χρησιμοποιηθεί σε καμπάνιες Xenomorph, επιτρέποντας κλοπή διαπιστευτηρίων στις πιο πρόσφατες συσκευές Android.
Επιπλέον, τα τελευταία δείγματα Xenomorph που αναλύθηκαν από την Threat Fabric έχουν προσθέσει modules απομακρυσμένης πρόσβασης trojan (RAT), καθιστώντας το malware ακόμη πιο ισχυρή απειλή.
Πηγή: bleepingcomputer.com
