繞過 Android 安全性來安裝惡意軟件

一種名為“SecuriDropper”的新型滴管即服務 (DaaS) 網絡犯罪操作已經出現，它使用繞過 Android 中“受限設置”功能的方法在設備上安裝惡意軟件并獲取對輔助功能服務的訪問權限。

受限設置是 Android 13 中引入的一項安全功能，可防止從 Google Play 外部安裝的旁加載應用程序（APK 文件）訪問輔助功能設置和通知偵聽器等強大功能。

這兩種權限通常被惡意軟件濫用，因此該功能旨在通過在請求這些權限時顯示警告來阻止請求的批準，從而保護用戶。

受限設置警告彈出窗口

(ThreatFabric)

輔助功能可被濫用來捕獲屏幕上的文本、授予額外權限以及遠程執行導航操作，而通知偵聽器可用于竊取一次性密碼。

2022 年 8 月，ThreatFabric報告稱，惡意軟件開發人員已經通過名為“BugDrop”的新植入程序調整其策略以適應這一新措施。

根據觀察，該公司創建了一個概念驗證 (PoC) 滴管，以展示繞過的可能性。

訣竅是對惡意APK（Android包）文件使用基于會話的安裝API，該API分多個步驟安裝它們，涉及“基本”包和各種“拆分”數據文件。

當使用特定 API 而不是非會話方法時，將繞過受限設置，并且不會向用戶顯示“受限設置”對話框，該對話框會阻止他們授予惡意軟件訪問危險權限的權限。

BleepingComputer 已確認 Android 14 中仍然存在該安全問題，并且根據新的 ThreatFabric 報告，SecuriDropper 采用相同的技術在目標設備上旁加載惡意軟件并允許它們訪問有風險的子系統。

這是該方法首次用于針對 Android 用戶的網絡犯罪活動。

Android Dropper 即服務操作

SecuriDropper 偽裝成合法應用程序來感染 Android 設備，最常見的是冒充 Google 應用程序、Android 更新、視頻播放器、安全應用程序或游戲，然后安裝第二個有效負載，這是某種形式的惡意軟件。

SecuriDropper 模擬的應用程序類型 (ThreatFabric)

Dropper 通過在安裝時保護對“讀取和寫入外部存儲”和“安裝和刪除包”權限的訪問來實現此目的。

第二階段有效負載是通過用戶欺騙和界面操縱來安裝的，在顯示有關植入應用程序安裝的虛假錯誤消息后提示用戶單擊“重新安裝”按鈕。

有效負載丟棄過程 (ThreatFabric)

ThreatFabric 發現SpyNote惡意軟件通過 SecuriDropper 偽裝成 Google 翻譯應用程序分發。

在其他情況下，SecuriDropper 被發現分發偽裝成 Chrome 瀏覽器的銀行 Ermac 木馬，針對數百種加密貨幣和電子銀行應用程序。

ThreatFabric還報告了Zombinder 的重新出現，這是一項于 2022 年 12 月首次記錄的 DaaS 操作。該服務將惡意負載與合法應用程序“粘合”，以利用信息竊取程序和銀行木馬感染 Android 設備。

令人擔憂的是，Zombinder 最近的廣告強調了前面討論的相同的受限設置繞過策略，因此有效負載在安裝時被授予使用可訪問性設置的權限。

Zombinder最新廣告 （ThreatFabric）

為了防止這些攻擊，Android 用戶應避免從不知名的來源或他們不知道和不信任的發布者處下載 APK 文件。

可以通過轉到設置 → 應用程序 → [選擇應用程序] → 權限 來查看和撤銷對任何已安裝應用程序的權限訪問。

11/6 更新：為了回應 BleepingComputer 的置評請求，Google 發言人向我們發送了以下聲明：

受限設置在應用程序訪問 Android 設置/權限所需的用戶確認之上添加了額外的保護層。

作為核心保護，Android 用戶始終可以控制向應用程序授予哪些權限。

用戶還受到 Google Play Protect 的保護，它可以警告用戶或阻止已知在具有 Google Play 服務的 Android 設備上表現出惡意行為的應用程序。

我們不斷審查攻擊方法并改進 Android 對惡意軟件的防御，以幫助確保用戶安全。