SecuriDropper aggira la sicurezza Android per installare malware

La società di sicurezza informatica ThreatFabric ha scoperto un nuovo attacco dropper-as-a-service (DaaS), denominato “SecuriDropper”, che colpirebbe i device con Android 13 e 14. Questo attacco ignorerebbe la funzionalità “Impostazioni limitate” di Android per installare malware e ottenere l’accesso ai servizi di accessibilità. Questa funzionalità di sicurezza è stata introdotta con Android 13 e impedisce alle app APK installate al di fuori del Google Play, di accedere ai dati sensibili degli utenti. “Impostazioni limitate” funge da gatekeeper, impedendo alle app caricate di richiedere direttamente l’accesso alle impostazioni di accessibilità e al Notification Linstener, funzionalità spesso sfruttate dai malware. Per questo motivo, la voce Accessibilità è disattivata nelle app caricate manualmente. SecuriDropper riesce ad aggirare questo tipo di protezione. Tramite l’accessibilità è infatti in grado di acquisire il testo sullo schermo, concedere autorizzazioni aggiuntive o eseguire azioni di navigazione in remoto. Notification Listener viene invece sfruttato per rubare password monouso.

SecuriDropper: come funziona il malware che ruba le informazioni degli utenti

Per infettare i dispositivi Android, SecuriDropper si finge un’app legittima Google, un lettore video, un’app di sicurezza, un gioco o un aggiornamento Android. Una volta installato, questo introdurrà un payload dannoso. Come riportato sul sito di ThreatFabric, il dropper si basa su due autorizzazioni chiave: “Lettura e scrittura di archiviazioni esterna” e “Installazione ed eliminazione dei pacchetti”, che sono richieste al momento dell’installazione. In una seconda fase, il payload manipola l’interfaccia del device e mostra un falso messaggio di errore sull’installazione dell’app dropper, spingendo l’utente a cliccare sul pulsante “Reinstalla”. Fatto ciò, il malware entra in azione. La società di sicurezza ha rilevato ad esempio il malware SpyNote, distribuito tramite SecuriDropper mascherato da Google Translate. In altri casi, questo dropper ha distribuito trojan bancari Ermac, camuffati da Google Chrome, per rubare dati bancari e criptovalute.

Per proteggersi da questo tipo di attacchi TreatFabric consiglia agli utenti di non scaricare e installare APK provenienti da fonti sconosciute o non fidate. In ogni caso, gli utenti possono sempre revocare alle app l’accesso alle autorizzazioni da “Impostazioni” e poi “App” e “Gestione App”.  Infine, basterà selezionare l’app, accedere alla scheda “Autorizzazioni” e toccare “Non consentire” nelle opzioni desiderate.