Siber Muhbir

Android'deki damlalıklı kötü amaçlı yazılım, güvenliği ihlal edilmiş bir cihaza bir yük yüklemek için bir kanal işlevi görecek şekilde tasarlanmıştır ve bu da onu, yetenekleri diğer suç gruplarına tanıtabilen tehdit aktörleri için kazançlı bir iş modeli haline getirir.

Dahası, bunu yapmak, saldırganların bir saldırının geliştirilmesini ve yürütülmesini kötü amaçlı yazılımın yüklenmesinden ayırmasına da olanak tanır.

Hollandalı siber güvenlik firması ThreatFabric, paylaşılan bir raporda, "Dropper'lar ve arkalarındaki aktörler, gelişen güvenlik önlemlerini atlatmaya çalışırken sürekli bir evrim halindeler" dedi.

Google tarafından Android 13 ile getirilen bu tür bir güvenlik önlemi, yandan yüklenen uygulamaların, genellikle bankacılık truva atları tarafından kötüye kullanılan Erişilebilirlik ve Bildirim Dinleyicisi izinlerini almasını engelleyen Kısıtlı Ayarlar olarak adlandırılan şeydir.

SecuriDropper, damlalık genellikle görünüşte zararsız bir uygulama olarak gizlenerek, tespit edilmeden bu korkuluğu aşmayı amaçlar. Vahşi doğada gözlemlenen örneklerden bazıları aşağıdaki gibidir:

• com.appd.instll.load (Google)
• com.appd.instll.load (Google Chrome)

ThreatFabric, "SecuriDropper'ı öne çıkaran şey, kurulum prosedürünün teknik uygulamasıdır" dedi.

"Seleflerinden farklı olarak, bu aile yeni yükü yüklemek için farklı bir Android API'si kullanıyor ve pazar yerleri tarafından yeni uygulamalar yüklemek için kullanılan süreci taklit ediyor."

Özellikle, bu, harici depolamaya (READ_EXTERNAL_STORAGE ve WRITE_EXTERNAL_STORAGE) veri okuma ve yazmanın yanı sıra paketleri (REQUEST_INSTALL_PACKAGES ve DELETE_PACKAGES) yüklemek ve silmek için izin talep etmeyi gerektirir.

İkinci aşamada, kurbanları sözde bir yükleme hatasını çözmek için uygulamadaki bir "Yeniden Yükle" düğmesine tıklamaya teşvik ederek kötü amaçlı yükün yüklenmesi kolaylaştırılır.

ThreatFabric, SpyNote ve ERMAC gibi Android bankacılık truva atlarının aldatıcı web sitelerinde ve Discord gibi üçüncü taraf platformlarda SecuriDropper aracılığıyla dağıtıldığını gözlemlediğini söyledi.

Benzer bir Kısıtlı Ayarlar atlaması sunduğu tespit edilen bir başka damlalık hizmeti, bu yılın başlarında kapatıldığından şüphelenilen bir APK bağlama aracı olan Zombinder'dir. Şu anda iki araç arasında herhangi bir bağlantı olup olmadığı belli değil.

Şirket, "Android her yinelemede çıtayı yükseltmeye devam ettikçe, siber suçlular da uyum sağlıyor ve yenilik yapıyor" dedi. "Drop as a Service (DaaS) platformları, kötü niyetli aktörlerin casus yazılım ve bankacılık truva atları dağıtmak için cihazlara sızmasına izin veren güçlü araçlar olarak ortaya çıktı."

Güncelleştirmek

En son bulgular hakkında yorum yapmak için ulaşıldığında, bir Google sözcüsü aşağıdaki açıklamayı paylaştı -

Kısıtlı ayarlar, uygulamaların Android ayarlarına/izinlerine erişmesi için gereken kullanıcı onayının üzerine ekstra bir koruma katmanı ekler. Temel bir koruma olarak, Android kullanıcıları bir uygulamaya hangi izinleri vereceklerini her zaman kontrol eder. Kullanıcılar ayrıca, Google Play Hizmetleri ile kullanıcıları uyarabilen veya Android cihazlarda kötü amaçlı davranışlar sergilediği bilinen uygulamaları engelleyebilen Google Play Protect tarafından da korunur. Kullanıcıları güvende tutmaya yardımcı olmak için saldırı yöntemlerini sürekli olarak gözden geçiriyor ve Android'in kötü amaçlı yazılımlara karşı savunmasını geliştiriyoruz.