攻擊者開發BugDrop惡意軟件，可繞過安卓安全防護

據The Hacker News報道，攻擊者正在想法設防繞過 Google Play 商店的安全保護措施。安全研究人員也發現了一個以前未記錄的Android滴管木馬，該木馬目前正在開發中。

荷蘭網絡安全公司ThreatFabric的Han Sahin 在一份報告中指出，這種惡意軟件試圖使用一種從未見過的新技術來感染設備，以傳播極其危險的Xenomorph銀行木馬，允許犯罪分子在受害者的設備上進行欺詐攻擊。

該惡意軟件被ThreatFabric命名為BugDrop，是一種dropper應用程序，其設計目的十分明確，就是為了應對Android系統更新引入的新功能：使惡意軟件難以向受害者請求輔助功能服務權限。

ThreatFabric認為BugDrop惡意軟件的始作俑者是臭名昭著的“Hadoken Security”網絡犯罪組織，該組織也是Xenomorph /Gymdrop 等Android等系列惡意軟件的幕后黑手。

從以往滴管木馬的表現來看，這類銀行木馬通常會利用無害的滴管應用程序部署在Android系統上，滴管程序則會偽裝成具有生產力或比較實用的應用程序，用戶一旦安裝，就會誘騙用戶授予侵入性權限。

例如可讀取手機屏幕內容，并代表用戶執行操作的Accessibility API已經被攻擊者廣泛濫用，攻擊者可以借此捕獲賬戶密碼、財務信息等較為敏感的用戶數據。具體實現方式為，當受害者打開所需的應用程序（例如加密貨幣錢包）時，木馬會注入從遠程服務器檢索到的假冒登錄表單。

鑒于大多數這些惡意應用程序都是側載，只有在用戶允許從未知來源安裝時才有可能發生這種情況，因此谷歌在 Android 13 中采取了阻止輔助功能 API 訪問，從應用程序商店外部安裝應用程序的步驟。

但這并沒有阻止對手試圖繞過這個受限的安全設置。輸入 BugDrop，它可以偽裝成 QR 碼閱讀器應用程序。安全人員親自進行測試，可通過基于會話的安裝過程部署惡意有效負載。安全人員進一步強調，“攻擊者正在使用這類惡意軟件，能夠在受感染的設備上安裝新的APK，以測試基于會話的安裝方法，并將其整合到更精細的 dropper 中，這在未來是很有可能會發生的事情。”

如果上述變化成為現實，可能會使銀行木馬更具威脅性，甚至能夠繞過安全防護體系，給用戶造成嚴重損失。

ThreatFabric公司也表示，“隨著BugDrop逐步完善當前存在的各種缺陷，攻擊者在與安全團隊、銀行機構的戰爭中擁有一種全新的高威力的武器，足以擊敗谷歌目前采用的解決方案，這需要引起谷歌和安卓的警惕。”