Des chercheurs en cybersécurité ont mis en lumière un nouveau dropper-as-a-service (DaaS) pour Android appelé SécuriDropper qui contourne les nouvelles restrictions de sécurité imposées par Google et délivre le malware.
Le malware Dropper sur Android est conçu pour fonctionner comme un canal permettant d’installer une charge utile sur un appareil compromis, ce qui en fait un modèle commercial lucratif pour les acteurs malveillants, qui peuvent faire connaître leurs capacités à d’autres groupes criminels.
De plus, cela permet également aux adversaires de séparer le développement et l’exécution d’une attaque de l’installation du malware.
“Les droppers et les acteurs qui les sous-tendent sont dans un état d’évolution constant alors qu’ils s’efforcent de déjouer l’évolution des mesures de sécurité”, a déclaré la société néerlandaise de cybersécurité ThreatFabric dans un rapport partagé avec The Hacker News.
L’une de ces mesures de sécurité introduites par Google avec Android 13 est ce qu’on appelle les paramètres restreints, qui empêchent les applications téléchargées d’obtenir les autorisations d’accessibilité et d’écoute de notification, qui sont souvent abusées par les chevaux de Troie bancaires.
SecuriDropper vise à contourner ce garde-fou sans être détecté, le compte-gouttes étant souvent déguisé en application apparemment inoffensive.
Certains des échantillons observés dans la nature sont les suivants :
- com.appd.instll.load (Google)
- com.appd.instll.load (Google Chrome)
“Ce qui distingue SecuriDropper, c’est la mise en œuvre technique de sa procédure d’installation”, a expliqué ThreatFabric.
“Contrairement à ses prédécesseurs, cette famille utilise une API Android différente pour installer la nouvelle charge utile, imitant le processus utilisé par les places de marché pour installer de nouvelles applications.”
Plus précisément, cela implique de demander des autorisations pour lire et écrire des données sur un stockage externe (READ_EXTERNAL_STORAGE et WRITE_EXTERNAL_STORAGE) ainsi que pour installer et supprimer des packages (REQUEST_INSTALL_PACKAGES et DELETE_PACKAGES).
Dans la deuxième étape, l’installation de la charge utile malveillante est facilitée en invitant les victimes à cliquer sur un bouton « Réinstaller » sur l’application pour résoudre une prétendue erreur d’installation.
ThreatFabric a déclaré avoir observé des chevaux de Troie bancaires Android tels que SpyNote et ERMAC distribués via SecuriDropper sur des sites Web trompeurs et des plateformes tierces comme Discord.
Un autre service de compte-gouttes qui a également été repéré offrant un contournement similaire des paramètres restreints est Zombinder, un outil de liaison APK qui aurait été arrêté plus tôt cette année. Il n’est actuellement pas clair s’il existe un lien entre les deux outils.
“Alors qu’Android continue de relever la barre à chaque itération, les cybercriminels eux aussi s’adaptent et innovent”, a déclaré la société. « Les plateformes Dropper-as-a-Service (DaaS) sont devenues des outils puissants, permettant à des acteurs malveillants d’infiltrer les appareils pour distribuer des logiciels espions et des chevaux de Troie bancaires. »
