Malware ya pasa por alto la nueva función de seguridad para Android 13

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los desarrolladores de malware para Android ya están ajustando sus tácticas para eludir una nueva función de seguridad de 'Configuración restringida' introducida por Google en el nuevo Android 13.

Android 13 se lanzó esta semana, con el nuevo sistema operativo implementado en los dispositivos Google Pixel y el código fuente publicado en AOSP.

Como parte de este lanzamiento, Google intentó paralizar el malware móvil que intentaba habilitar permisos potentes de Android, como AccessibilityService, para realizar un comportamiento sigiloso y malicioso en segundo plano.

Sin embargo, los analistas de Threat Fabric dicen hoy que los autores de malware ya están desarrollando droppers de malware para Android que pueden eludir estas restricciones y entregar cargas útiles que disfrutan de altos privilegios en el dispositivo de un usuario.

Seguridad de Android 13

En versiones anteriores de Android, la mayoría de los programas maliciosos móviles ingresaban a millones de dispositivos a través de aplicaciones cuentagotas disponibles en Play Store, que se hacen pasar por aplicaciones legítimas.

Durante la instalación, las aplicaciones de malware solicitan a los usuarios que otorguen acceso a permisos riesgosos y luego descargan (o descartan) cargas útiles maliciosas abusando de los privilegios del Servicio de Accesibilidad.

Los Servicios de accesibilidad son un sistema de asistencia para discapacitados que se abusa masivamente en Android y que permite que las aplicaciones realicen deslizamientos y toques, retrocedan o regresen a la pantalla de inicio. Todo esto se hace sin el conocimiento o permiso del usuario.

Por lo general, el malware usa el servicio para otorgarse permisos adicionales y evitar que la víctima elimine manualmente la aplicación maliciosa.

En Android 13, los ingenieros de seguridad de Google introdujeron una función de 'Configuración restringida', que impide que las aplicaciones descargadas soliciten privilegios del Servicio de Accesibilidad, limitando la función a los APK de Google Play.

Sin embargo, los investigadores de ThreatFabric pudieron crear un cuentagotas de prueba de concepto que eludió fácilmente esta nueva función de seguridad para obtener acceso a los Servicios de accesibilidad.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Omitir la configuración restringida de Android

En un nuevo informe publicado hoy, Threat Fabric descubrió un nuevo gotero de malware de Android que ya está agregando nuevas funciones para evitar la nueva función de seguridad de configuración restringida.

Mientras seguía las campañas de malware Xenomorph para Android, Threat Fabric descubrió un nuevo cuentagotas aún en desarrollo. Este cuentagotas recibió el nombre de "BugDrop" debido a las muchas fallas que plagan su funcionamiento en esta fase inicial.

Este novedoso cuentagotas presenta un código similar a Brox, un proyecto de tutorial de desarrollo de malware de distribución gratuita que circula en foros de piratas informáticos, pero con una modificación en una cadena de la función del instalador.

"Lo que nos llamó la atención es la presencia en el código de Smali de la cadena "com.example.android.apis.content.SESSION_API_PACKAGE_INSTALLED", explica Threat Fabric en el informe.

"Esta cadena, que no está presente en el código Brox original, corresponde a la acción requerida por los intentos de crear un proceso de instalación por sesión".

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La instalación basada en sesiones se usa para realizar una instalación de malware en varias etapas en un dispositivo Android al dividir los paquetes (APK) en partes más pequeñas y darles nombres, códigos de versión y certificados de firma idénticos.

De esta manera, Android no verá la instalación de la carga útil como una descarga local del APK y, por lo tanto, no se aplicarán las restricciones del Servicio de accesibilidad de Android 13.

"Cuando se implemente por completo, esta ligera modificación eludiría por completo las nuevas medidas de seguridad de Google, incluso antes de que estén efectivamente implementadas", comenta Threat Fabric.

Grupo Hadoken

BugDrop es todavía un trabajo en progreso por parte de un grupo de creadores y operadores de malware llamado 'Hakoden', quienes también son responsables de crear el cuentagotas Gymdrop y el troyano bancario para Android Xenomorph.

Cuando BugDrop esté listo para su implementación masiva, se espera que se use en campañas de Xenomorph, lo que permitirá el robo de credenciales en el dispositivo y el comportamiento fraudulento en los dispositivos Android más recientes.

Además, las últimas muestras de Xenomorph analizadas por Threat Fabric han agregado módulos troyanos de acceso remoto (RAT), lo que hace que el malware sea una amenaza aún más potente.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta