Masz Androida? SecuriDropper potrafi ominąć zabezpieczenia

W świecie szkodliwego oprogramowania na Androida pojawił się nowy "dropper", który potrafi ominąć zabezpieczenia związane z instalacją pakietów APK z nieznaych źródeł i uzyskać uprawnienia dostępu. To pierwszy odnotowany przypadek, który wykorzystuje niedoskonałość mechanizmu bezpieczeństwa wprowadzonego wraz z Androidem 13.

O zagrożeniu informuje Bleeping Computer, powołując się na raport ThreatFabric. Sprytne oprogramowanie to SecuriDropper, który wykorzystuje mechanizm "ograniczonych ustawień" wprowadzony wraz z Androidem 13. Chodzi o sytuację, w której użytkownik instaluje pakiet APK pobrany spoza sklepu Google Play. Android blokuje wtedy jego dostęp do części mechanizmów, w tym ułatwień dostępu czy powiadomień. Jak wiadomo, ten pierwszy jest szczególnie ważny dla bezpieczeństwa.

ThreatFabric informował już w 2022 roku, że obejście tego mechanizmu jest możliwe - wówczas za pomocą droppera "BugDrop". Ówczesne odkrycie było tylko potwierdzeniem koncepcji i nie stanowiło realnego zagrożenia na rynku. Obecnie odkryty SecuriDropper zdaje się więc być pierwszym odnotowanym przypadkiem obejścia zabezpieczenia w Androidzie, a co za tym idzie stanowi otwarcie drogi dla atakujących, którzy regularnie wykorzystują droppery oprogramowania na potrzeby ataków.

Jak tłumaczą eksperci, SecuriDropper dystrybuował dotąd między innymi złośliwe oprogramowanie SpyNote pod postacią spreparowanej wersji Tłumacza Google czy trojany bankowe Ermac, które podszywały się pod przeglądarkę Google Chrome. Na tę chwilę trudno jednoznacznie ochronić się przed zagrożeniem inaczej, niż poprzez ograniczenie do zera instalacji pakietów APK spoza oficjalnego sklepu Google Play, gdzie użytkownik Androida teoretycznie jest w pełni chroniony dzięki aktywnemu mechanizmowi Play Protect (choć jak wiadomo i od tego istnieją wyjątki).