SecuriDropper: il malware Android che infrange le difesa di Google

Alcuni ricercatori di sicurezza informatica hanno individuato un nuovo dropper-as-a-service (DaaS) per Android denominato SecuriDropper.

Secondo i dati raccolti, questo agente malevolo è in grado di aggirare con una certa facilità le restrizioni di Google per quanto riguarda la sicurezza, distribuendo malware con una notevole facilità.

I dropper sono una tipologia di malware diffusi in ambiente Android, capaci di creare un canale di diffusione per altri agenti malevoli, risultando uno strumento molto utile per cybercriminali di ogni tipo. Il loro meccanismo, in grado di separare drasticamente l’infezione dall’esecuzione dell’attacco vero e proprio, rende i dropper anche difficili da individuare e bloccare in tempo.

Come si legge in un rapporto proposto da ThreatFabric al sito The Hacker News “I dropper e gli attori dietro di loro sono in costante stato di evoluzione mentre cercano di superare in astuzia l’evoluzione delle misure di sicurezza“.

SecuriDropper fa vacillare le strategie difensive di Google per Android

Una delle suddette misure di sicurezza introdotte da Google con Android 13 è quella che viene chiamata Impostazioni con limitazioni, che impedisce alle applicazioni installate al di fuori di Google Play di ottenere le autorizzazioni di accessibilità e relative alla gestione delle notifiche, di cui spesso si abusano i trojan bancari.

“Ciò che distingue SecuriDropper è l’implementazione tecnica della sua procedura di installazione” ha spiegato ThreatFabric. Gli esperti hanno poi puntualizzato come “A differenza dei suoi predecessori, questa famiglia utilizza una diversa API Android per installare il nuovo payload, imitando il processo utilizzato dai marketplace per installare nuove applicazioni“.

ThreatFabric ha affermato di aver osservato trojan bancari Android come SpyNote ed ERMAC che utilizzavano SecuriDropper come vettore di distribuzione, sfruttando siti Web ingannevoli e piattaforme di terze parti come Discord.

Un altro servizio dropper che è stato notato offrire un simile bypass delle Impostazioni limitate è Zombinder. Al momento non è chiaro se quest’ultimo agente malevolo e SecuriDropper abbiano un qualche collegamento tra loro.

Gli specialisti hanno affermato come “Mentre Android continua ad alzare il livello con ogni iterazione, anche i criminali informatici si adattano e innovano“. Commentando più generalmente il fenomeno DaaS, per ThreatFabric “Sono emerse come strumenti potenti, consentendo ad autori malintenzionati di infiltrarsi nei dispositivi per distribuire spyware e trojan bancari“.