SecuriDropper Mobile Malware

Cybersicherheitsexperten haben einen neuartigen Dienst namens SecuriDropper vorgestellt, der als „dDopper-as-a-Service“ (DaaS) für Android-Geräte fungiert. SecuriDropper wurde entwickelt, um die neuesten Sicherheitsbeschränkungen von Google zu umgehen und Malware erfolgreich auf Android-Geräten bereitzustellen.

Eine Dropper-Malware auf Android dient dazu, die Installation bedrohlicher Software auf kompromittierten Geräten zu erleichtern und so ein profitables Geschäftsmodell für betrügerische Personen zu schaffen. Diese Bedrohungsakteure können ihre Fähigkeiten an andere kriminelle Organisationen vermarkten.

Darüber hinaus ermöglicht dieser Ansatz Angreifern, die Entwicklung und Ausführung eines Angriffs von der eigentlichen Installation der Malware zu trennen. Die Landschaft der Dropper und der Personen, die sie orchestrieren, befindet sich in einem ständigen Wandel, da sie sich an gegenläufige Sicherheitsmaßnahmen anpassen.

SecuriDropper umgeht mehrere Sicherheitsmaßnahmen

Googles Android 13 hat eine Sicherheitsfunktion namens „Eingeschränkte Einstellungen“ eingeführt. Diese Funktion soll verhindern, dass seitlich geladene Anwendungen Zugangs- und Benachrichtigungs-Listener-Berechtigungen erhalten, die häufig von Banking-Trojanern ausgenutzt werden.

SecuriDropper wurde entwickelt, um diesen Schutz zu umgehen, ohne Verdacht zu erregen, und tarnt sich oft als scheinbar harmlose Anwendungen. Zu den in freier Wildbahn vorkommenden Vorkommen gehören:

com.appd.instll.load (Google)

com.appd.instll.load (Google Chrome)

Was SecuriDropper auszeichnet, ist sein einzigartiger Ansatz beim Installationsprozess. Im Gegensatz zu ihren Vorgängern verwendet diese Malware-Familie eine alternative Android-API zur Installation der neuen Nutzlast und spiegelt damit den Prozess wider, den legitime Anwendungsmarktplätze für die Installation neuer Anwendungen verwenden. Dazu gehört das Anfordern von Berechtigungen zum Lesen und Schreiben von Daten in den externen Speicher (READ_EXTERNAL_STORAGE und WRITE_EXTERNAL_STORAGE) sowie zum Installieren und Löschen von Paketen (REQUEST_INSTALL_PACKAGES und DELETE_PACKAGES).

In der zweiten Phase des Angriffs werden die Opfer aufgefordert, in der App auf die Schaltfläche „Neu installieren“ zu klicken, um einen angeblichen Installationsfehler zu beheben und so die Installation der bösartigen Nutzlast zu erleichtern.

Forscher haben die Verbreitung von Android-Banking-Trojanern wie SpyNote und ERMAC über SecuriDropper auf betrügerischen Websites und Plattformen Dritter wie Discord beobachtet.

Cyberkriminelle entwickeln ihre Bedrohungstools weiter

Ein weiterer Dropper-Dienst namens Zombinder ist aufgetaucht und bietet eine Umgehung für die Funktion „Eingeschränkte Einstellungen“. Zombinder ist ein APK-Bindungstool, das vermutlich Anfang des Jahres eingestellt wurde. Es bleibt ungewiss, ob es einen Zusammenhang zwischen diesen beiden Tools gibt.

Da Android mit jeder neuen Version höhere Sicherheitsstandards setzt, passen sich Cyberkriminelle ebenso schnell an und finden neue Lösungen. Dropper-as-a-Service (DaaS)-Plattformen haben sich zu leistungsstarken Instrumenten entwickelt, die es betrügerischen Personen ermöglichen, in Geräte einzudringen und Spyware und Banking-Trojaner zu verbreiten.