一种危险的恶意软件已成功绕过 Google 在 Android 13 中设置的安全机制。该病毒名为 SecuriDropper,它模仿 Play 商店中的应用程序的行为,能够安装旨在窃取您银行账户的间谍软件或恶意软件。
ThreatFabric 的计算机安全研究人员发现了针对 Android 智能手机的新恶意软件,安全滴管。该病毒属于“滴管”类别。这是一种恶意软件,旨在潜入计算机系统以安装其他类型的软件。
它是黑客中非常常见的工具,他们用它来部署其他更危险的病毒,例如勒索软件。 SecuriDropper 作为 Dropper 即服务 (DaaS) 订阅的一部分提供给网络犯罪分子。
经过调查,专家发现SecuriDropper尤其能够绕过Google 在 Android 13 中实施的某些安全机制。该恶意软件确实可以绕过限制设置,将于 2022 年出现在操作系统上。
Android 的限制设置
这些设置对不是从 Play 商店安装的应用程序施加限制。如果您从 APK 或第三方商店安装了应用程序,Google 会自动对其施加限制。例如,应用程序将无法访问敏感功能,例如辅助功能 API 或通知。警告将自动向用户表明该应用程序已受到限制。
这一安全措施的目的显然是保护互联网用户防范可疑应用程序,这些应用程序通常来自网络上传播的 APK。通过避开 Play 商店,恶意软件开发人员也避开了 Google 的安全控制。同样,他们的应用程序也不会被 Play Protect 程序扫描。宣布的限制实际上是为了保护用户。
正如谷歌解释的那样其官方网站,可以取消限制并授予对非 Play 商店的应用程序的访问权限。尽管如此,这家美国巨头还是建议谨慎行事“除非您信任应用程序开发人员,否则不允许进行受限设置”。
“通过启用受限设置,您允许应用程序访问可能危及您的个人数据的敏感信息”,与 en garde Google 一起。
SecuriDropper 如何绕过 Google 实施的保护?
为了绕过 Android 安全性,SecuriDropper 依赖于《具体安装方法》”ThreatFabric 说。简而言之,该恶意软件将模仿合法应用程序的方式可从 Play 商店安装到 Android 智能手机上。 Google 商店中的应用程序依赖于软件包安装程序,这是一种自动执行系统上软件管理过程的工具,“基于会话”。程序操作仅限于活动用户会话。
对于来自第三方平台或 APK 的应用程序来说,情况并非如此。通过使用这种精确的方法,恶意应用程序会欺骗 Android 系统,让其相信它们来自 Play 商店。实际上,“操作系统无法区分滴管安装的应用程序和官方市场”,指定报告。在一年的时间里,黑客发现了一种万无一失的方法来欺骗谷歌采取的预防措施。
间谍软件和木马恶意软件
正如 ThreatFabric 所解释的,SecuriDropper 的操作模式包括两个主要步骤。首先,黑客会在网络上分发恶意但看似无害的 Android 应用程序。在此应用程序的代码中,我们找到了滴管。一旦它成功渗透操作系统,它就会安装间谍软件(例如 SpyNote)或银行木马(例如 Ermac)来窃取受害者的数据。这就是陷阱关闭的地方。
不幸的是,SecuriDropper 并不是唯一使用这种策略绕过 Android 限制的病毒。 ThreatFabric 研究人员还发现僵尸,一项服务允许您设计可以绕过受限设置的恶意应用程序。在不久的将来,可能会有更多的网络犯罪分子介入这一漏洞。
来源 : 威胁结构
