SecuriDropper モバイル マルウェア

サイバーセキュリティの専門家は、Android デバイス向けの「dDopper-as-a-Service」（DaaS）として動作する SecuriDropper と呼ばれる新しいサービスを発表しました。 SecuriDropper は、Google によって実装された最新のセキュリティ制限を回避し、Android デバイスにマルウェアを正常に展開するように設計されています。

Android 上のドロッパー マルウェアは、侵害されたデバイスへの脅威的なソフトウェアのインストールを容易にする手段として機能し、詐欺に関係する個人にとって収益性の高いビジネス モデルを生み出します。これらの脅威アクターは、自分たちの能力を他の犯罪組織に売り込むことができます。

さらに、このアプローチにより、攻撃者は攻撃の開発と実行を、マルウェアの実際のインストールから切り離すことができます。ドロッパーとそれを組織する個人の状況は、進化するセキュリティ対策に対抗するため、常に変化しています。

SecuriDropper はいくつかのセキュリティ対策を回避します

GoogleのAndroid 13には「制限付き設定」と呼ばれるセキュリティ機能が導入された。この機能は、サイドロードされたアプリケーションが、バンキング型トロイの木馬によって頻繁に悪用されるアクセシビリティおよび通知リスナーのアクセス許可を取得できないように設計されています。

SecuriDropper は、疑惑を抱かせることなくこの安全装置を回避するように設計されており、一見無害なアプリケーションを装うことがよくあります。野生で遭遇する個体には次のようなものがあります。

com.appd.instll.load (Google)

com.appd.instll.load (Google Chrome)

SecuriDropper の特徴は、インストール プロセスに対する独自のアプローチです。前任者とは異なり、このマルウェア ファミリは代替 Android API を使用して新しいペイロードをインストールし、新しいアプリケーションのインストールに正規のアプリケーション マーケットプレイスで採用されているプロセスを反映しています。これには、外部ストレージへのデータの読み取りおよび書き込み (READ_EXTERNAL_STORAGE および WRITE_EXTERNAL_STORAGE)、およびパッケージのインストールおよび削除 (REQUEST_INSTALL_PACKAGES および DELETE_PACKAGES) のアクセス許可の要求が含まれます。

攻撃の第 2 段階では、被害者はインストール エラーとされるものに対処するためにアプリ内の [再インストール] ボタンをクリックするよう求められ、悪意のあるペイロードのインストールが容易になります。

研究者らは、SecuriDropper を介して、 SpyNoteやERMACなどの Android バンキング トロイの木馬が、詐欺的な Web サイトや Discord などのサードパーティ プラットフォームに配布されているのを観察しています。

サイバー犯罪者は脅威ツールを進化させている

Zombinderとして知られるさらに別のドロッパー サービスが登場し、制限付き設定機能のバイパスを提供しています。 Zominder は、今年初めに閉鎖されたと考えられていた APK バインディング ツールです。これら 2 つのツールの間に何らかの関連があるかどうかは不明のままです。

Android は新しいリリースのたびにより高いセキュリティ基準を設定し続けているため、サイバー犯罪者も同様に迅速に調整し、新しいソリューションを見つけます。 Dropper-as-a-Service (DaaS) プラットフォームは強力なツールとして台頭しており、詐欺に関係する個人がデバイスに侵入し、スパイウェアやバンキング型トロイの木馬を配布できるようになります。