Logiciel malveillant mobile SecuriDropper

Les experts en cybersécurité ont dévoilé un nouveau service appelé SecuriDropper, qui fonctionne comme un « dDopper-as-a-Service » (DaaS) pour les appareils Android. SecuriDropper est conçu pour contourner les dernières restrictions de sécurité mises en œuvre par Google et déployer avec succès des logiciels malveillants sur les appareils Android.

Un malware dropper sur Android sert à faciliter l'installation de logiciels menaçants sur des appareils compromis, créant ainsi un modèle commercial rentable pour les individus impliqués dans la fraude. Ces acteurs malveillants peuvent commercialiser leurs capacités auprès d’autres organisations criminelles.

De plus, cette approche permet aux adversaires de séparer le développement et l’exécution d’une attaque de l’installation réelle du malware. Le paysage des droppers et des individus qui les orchestrent est en constante évolution à mesure qu’ils s’adaptent aux mesures de sécurité en constante évolution.

SecuriDropper contourne plusieurs mesures de sécurité

Android 13 de Google a introduit une fonctionnalité de sécurité connue sous le nom de « Paramètres restreints ». Cette fonctionnalité est conçue pour empêcher les applications téléchargées d'acquérir les autorisations d'accessibilité et d'écoute de notification, qui sont fréquemment exploitées par les chevaux de Troie bancaires.

SecuriDropper a été conçu pour contourner cette protection sans éveiller les soupçons, se faisant souvent passer pour des applications apparemment inoffensives. Certains des cas rencontrés dans la nature incluent :

com.appd.instll.load (Google)

com.appd.instll.load (Google Chrome)

Ce qui distingue SecuriDropper est son approche unique du processus d'installation. Contrairement à ses prédécesseurs, cette famille de logiciels malveillants utilise une API Android alternative pour installer la nouvelle charge utile, reflétant le processus employé par les marchés d'applications légitimes pour l'installation de nouvelles applications. Cela implique de demander des autorisations pour lire et écrire des données sur un stockage externe (READ_EXTERNAL_STORAGE et WRITE_EXTERNAL_STORAGE) et pour installer et supprimer des packages (REQUEST_INSTALL_PACKAGES et DELETE_PACKAGES).

Dans la deuxième étape de l'attaque, les victimes sont invitées à cliquer sur un bouton « Réinstaller » dans l'application pour corriger une prétendue erreur d'installation, facilitant ainsi l'installation de la charge utile malveillante.

Les chercheurs ont observé la distribution de chevaux de Troie bancaires Android comme SpyNote et ERMAC via SecuriDropper sur des sites Web trompeurs et des plateformes tierces telles que Discord.

Les cybercriminels font évoluer leurs outils de menace

Un autre service de compte-gouttes, connu sous le nom de Zombinder, a vu le jour, offrant un contournement de la fonctionnalité Paramètres restreints. Zombinder est un outil de liaison APK qui aurait été fermé plus tôt cette année. Il reste incertain s’il existe un lien entre ces deux outils.

Alors qu’Android continue d’établir des normes de sécurité plus élevées à chaque nouvelle version, les cybercriminels s’adaptent tout aussi rapidement et trouvent de nouvelles solutions. Les plates-formes Dropper-as-a-Service (DaaS) sont devenues des instruments puissants, permettant aux individus impliqués dans des fraudes de pirater des appareils et de distribuer des logiciels espions et des chevaux de Troie bancaires.