Cihazlara kötü amaçlı yazılım yüklemek ve erişilebilirlik hizmetlerine erişim elde etmek için Android'deki 'Kısıtlı Ayarlar' özelliğini atlayan bir yöntem kullanarak, 'Securidropper' adlı yeni bir Hizmet Olarak Damlalı (DAAS) siber suç işlemi ortaya çıktı.
Kısıtlı Ayarlar, Android 13 ile, erişilebilirlik ayarları ve bildirim dinleyicisi gibi güçlü özelliklere erişmek için Google Play dışından yüklenen yan uygulamaları (APK dosyaları) önleyen bir güvenlik özelliğidir.
İki izin genellikle kötü amaçlı yazılım tarafından istismar edilir, bu nedenle özellik, bu izinler istendiğinde bir uyarı görüntüleyerek taleplerin onayını engelleyerek kullanıcıları korumayı amaçlamıştır.
Erişilebilirlik, ekrandaki metin yakalamak, ek izinler vermek ve navigasyon eylemlerini uzaktan gerçekleştirmek için istismar edilebilirken, bildirim dinleyicisi bir kerelik şifreleri çalmak için kullanılabilir.
Ağustos 2022'de TehditFabric, kötü amaçlı yazılım geliştiricilerinin taktiklerini 'Bugdrop' adlı yeni bir damlalık aracılığıyla bu yeni önlemi ayarladığını bildirdi.
Gözlemlerine dayanarak, firma bypass'ın mümkün olduğunu göstermek için bir kavram kanıtı (POC) damlası yarattı.
İşin püf noktası, bir "temel" paketi ve çeşitli "bölünmüş" veri dosyalarını içeren birden fazla adımda yükleyen kötü amaçlı APK (Android Paket) dosyaları için oturum tabanlı kurulum API'sını kullanmaktır.
Söz konusu olmayan yöntemi yerine belirli API kullanıldığında, kısıtlı ayarlar atlanır ve kullanıcılara kötü amaçlı yazılımların tehlikeli izinlere erişimini vermelerini engelleyen 'kısıtlı ayar' iletişim kutusu gösterilmez.
BleepingComputer, güvenlik sorununun Android 14'te hala bulunduğunu doğruladı ve yeni bir tehdit raporuna göre, Securidropper hedef cihazlarda yan yük kötü amaçlı yazılımları için aynı tekniği takip ediyor ve riskli alt sistemlere erişim sağlıyor.
Bu, Android kullanıcılarını hedefleyen siber suç işlemlerinde kullanılan bu yöntemin ilk gözlemlenen durumudur.
Securidropper, çoğunlukla bir Google uygulaması, Android güncellemesi, video oynatıcı, güvenlik uygulaması veya bir oyun taklit eden ve daha sonra bir tür kötü amaçlı yazılım olan ikinci bir yük yükleyen, meşru bir uygulama olarak poz veren Android cihazları enfekte eder.
Damlalı, kurulum sırasında "Harici Depolama" ve "Paketleri Yükle ve Sil" izinlerine erişim sağlayarak bunu sağlar.
İkinci aşama yükü, kullanıcıların damlacık uygulamasının kurulumu hakkında sahte hata mesajları görüntüledikten sonra kullanıcıların bir "yeniden yükleme" düğmesine tıklamalarını isteyen kullanıcı aldatma ve arayüz manipülasyonu yoluyla yüklenir.
TehditFabric, Securidropper aracılığıyla bir Google Translate uygulaması olarak gizlenmiş Securidropper aracılığıyla dağıtılan Spynote kötü amaçlı yazılımını gördü.
Diğer durumlarda, Securidropper'ın krom tarayıcı olarak gizlenmiş bankacılık ermac truva atlarını dağıttığı ve yüzlerce kripto para birimini ve e-bankacılık uygulamalarını hedefleyen görüldü.
TehditFabric ayrıca, ilk olarak Aralık 2022'de belgelenen bir DAAS operasyonu olan Zombinder'ın yeniden yansıtılmasını rapor ediyor. Bu hizmet, Info-Starers ve Banking Truva atları ile Android cihazları enfekte etmek için meşru uygulamalarla kötü niyetli yükleri "tutuyor".
Endişe verici bir şekilde, Zombinder'ın son reklamları daha önce tartışılan aynı kısıtlı ayarlar bypass stratejisini vurgular, bu nedenle yüklere kurulum sırasında erişilebilirlik ayarlarını kullanma izni verilir.
Bu saldırılara karşı korunmak için Android kullanıcıları, APK dosyalarını bilmedikleri ve güvenmedikleri ve güvenmedikleri yayıncılardan indirmekten kaçınmalıdır.
Yüklü herhangi bir uygulama için izinlere erişim, Ayarlar → Uygulamalar → [Uygulama Seç] → İzinlere giderek gözden geçirilebilir ve iptal edilebilir.
GÜNCELLEME 11/6: BleepingComputer'ın yorum talebine yanıt olarak, bir Google sözcüsü bize şu ifadeyi gönderdi:
Kısıtlı Ayarlar, uygulamaların Android ayarlarına/izinlerine erişmesi için gerekli olan kullanıcı onayının üstüne ekstra bir koruma katmanı ekler.
Temel bir koruma olarak, Android kullanıcıları her zaman bir uygulamaya hangi izin verdiklerini kontrol altına alırlar.
Kullanıcılar ayrıca Google Play Hizmetleri ile Android cihazlarda kötü niyetli davranışlar sergilediği bilinen kullanıcıları veya uygulamaları engelleyebilen Google Play Protect tarafından da korunur.
Saldırı yöntemlerini sürekli olarak gözden geçiriyoruz ve kullanıcıları güvende tutmak için Android'in kötü amaçlı yazılımlara karşı savunmalarını geliştiriyoruz.
Flipper Sıfır Bluetooth spam saldırıları yeni Android uygulamasına taşındı
Google Play, Android VPN uygulamaları için güvenlik denetim rozetleri ekliyor
Avast, Google uygulamasını Android telefonlarda kötü amaçlı yazılım olarak etiketlediğini doğrular
Samsung Galaxy yeni otomatik engelleyici anti-malware özelliği alıyor
Huawei, Vivo Telefonlar Google Uygulamasını Trojansms-Pa kötü amaçlı yazılım olarak etiketle
Kaynak: Bleeping Computer