Laut The Hacker News ist die Android-Dropper-Malware darauf ausgelegt, als Kanal für die Installation von Schadcode auf Geräten zu fungieren, was sie zu einem lukrativen Geschäftsmodell für Angreifer macht und diese Fähigkeit auch anderen kriminellen Gruppen bekannt macht.
„Eingeschränkte Einstellungen“ ist eine Sicherheitsfunktion, die in Android 13 eingeführt wurde und Apps, die nicht aus dem Google Play Store stammen, den Zugriff auf die Bedienungshilfen und den Benachrichtigungs-Listener verwehrt. Wenn eine App diese Berechtigungen anfordert, warnt „Eingeschränkte Einstellungen“ sofort und verhindert, dass Benutzer der App diese Berechtigungen erteilen.
Laut Vu Ngoc Son, Technischer Direktor des vietnamesischen Cybersicherheitsunternehmens NCS, ist „Barrierefreiheit“ ein Recht, das in der Vergangenheit von einer Reihe von Schadsoftware missbraucht wurde, die sich als Anwendungen staatlicher Behörden ausgab, um Telefone zu kontrollieren und Nutzern in Vietnam Geld zu stehlen. Dabei verloren die Opfer sogar innerhalb weniger Minuten mehr als 2 Milliarden VND. Diese Schadsoftware kann nur in Telefone mit Android 12 oder niedriger eindringen, während sie bei Telefonen mit Android 13 oder 14 durch die eingeschränkten Einstellungen erkannt und blockiert wird.
Die neue Technik der Hacker von SecuriDropper besteht darin, den Installationsprozess in mehrere Schritte aufzuteilen. Zunächst wird eine gefälschte Software – ohne spezielle Berechtigungen – auf dem Gerät des Opfers installiert. Anschließend ruft die Software Android-APIs auf, um eine Google Play-Installationssitzung vorzutäuschen. Dadurch kann sie Schadsoftware auf dem Telefon installieren und die eingeschränkten Einstellungen umgehen.
Die Penetrationsmethode von SecuriDropper hat die Sicherheitsbarrieren von Android umgangen 14
Die Malware kann nun Berechtigungen für die Bedienungshilfen und den Benachrichtigungs-Listener anfordern, ohne vom Betriebssystem erkannt und blockiert zu werden. Selbst Benutzer, die auf das neueste Android 14 aktualisiert haben, können mit dieser Methode weiterhin von Malware angegriffen werden.
ThreatFabric, ein Cybersicherheitsunternehmen aus den Niederlanden, gab an, dass es beobachtet habe, wie Banking-Trojaner wie SpyNote und ERMAC über SecuriDropper auf Phishing-Websites und Plattformen von Drittanbietern wie Discord verbreitet würden.
In einer Reaktion auf The Hacker News erklärte Google, dass die eingeschränkten Einstellungen eine zusätzliche Schutzebene über die Nutzereinwilligung hinaus bieten, die für den Zugriff von Apps auf Android-Einstellungen/-Berechtigungen erforderlich ist. Nutzer sind zudem durch Google Play Protect geschützt, das Apps, die sich auf Android-Geräten mit Google Play Services gefährlich verhalten, warnen oder blockieren kann. Google überprüft ständig Angriffsmethoden und verbessert die Abwehr von Android gegen Malware, um die Sicherheit der Nutzer zu gewährleisten.
Um sich vor Angriffen zu schützen, rät Herr Vu Ngoc Son Android-Benutzern, das Herunterladen von APK-Dateien aus nicht vertrauenswürdigen Quellen zu vermeiden.
[Anzeige_2]
Quellenlink
Kommentar (0)