惡意軟件可繞過安卓13安全新特征

8月，谷歌正式發布了安卓 13系統，其中引入了新的安全特征，嘗試攔截惡意軟件請求安卓權限來在后臺執行惡意、隱蔽行為，比如AccessibilityService這樣功能強大的安卓權限。近日，Threat Fabric研究人員發現已有安卓惡意軟件嘗試繞過這些限制，并在用戶設備上釋放具有高權限的payload。

安卓13安全

在之前的安卓版本中，大多數移動惡意軟件通過應用商店中的釋放APP（偽裝為合法應用APP）隱藏在數百萬手機設備中。在安裝過程中，惡意軟件APP會要求用戶授權有風險的權限，然后濫用Accessibility服務權限來釋放惡意payload。

Accessibility 服務是被濫用最多的，可以使APP執行點擊、返回、返回home等操作。而這些是不需要用戶授權的，用戶甚至都不知道這些動作的發生。

一般來說，惡意軟件會濫用該服務授予其一些額外的權限，并防止受害者手動刪除惡意APP。

在安卓13系統中，谷歌引入了'Restricted setting'特征，可以攔截側加載的應用請求Accessibility服務權限，將該功能限制為谷歌應用商店中的apk。

但ThreatFabric 安全研究人員創建了一個PoC釋放器可以很容易地繞過該安全特征，并獲得Accessibility服務權限。

繞過安卓13 restricted setting特征

繞過安卓restricted setting

ThreatFabric研究人員近日發現一款安卓惡意軟件釋放器，其中添加了繞過安卓13 Restricted setting安全特征的新功能。該釋放器名為"BugDrop"，功能仍然存在很多漏洞，因此推斷該釋放器仍處于開發階段。

該釋放器的特征代碼與Brox類似，但是在安裝器函數中對字符串做了修改。吸引研究人員的是其中的字符串"com.example.android.apis.content.SESSION_API_PACKAGE_INSTALLED"，這并不在原始的Brox代碼中。字符串對應的是intent要求創建安裝過程的動作。

調用基于會話的安裝的字符串

第三方有2種方法來安裝其他APP。第一種也是最常見的是非會話的安裝方法，即通過apk文件的方式進行安裝。第二個是基于session的安裝方法，即一次安裝多個apk文件。比如，一個apk文件有多個語言版本，每個語言版本對應一個apk文件。

在安卓13系統中，谷歌限制了Accessibility Service和Notification Listener兩個高權限API的訪問權限，將其限制為僅允許使用基于會話的安裝方法的APP。通過基于會話的安裝方法側加載的APP不會看到"Restricted Setting"彈窗，因此用戶可以啟用Accessibility Service和Notification Listener。

像BugDrop這種基于session的安裝方法的惡意軟件釋放器可以加載惡意軟件payload，安卓13系統不會對其使用API進行限制。

Hadoken黑客組織

BugDrop是由Hadoken黑客組織開發的，該黑客組織還開發了Gymdrop釋放器和Xenomorph安卓銀行木馬。從目前BugDrop的開發狀態判斷其仍處于開發中，未來在部署時可能會會用于Xenomorph攻擊活動中。