研究人员发现了一个以前没有记录的Android下载程序,名为BugDrop,仍在开发中。
最近,来自ThreatFabric的研究人员发现了一个以前未被发现的Android dropper,称为BugDrop,它正在积极开发中,旨在绕过将在下一版本的Google OS中实现的安全功能。
专家们在恶意软件家族的最新样本中发现了一些不寻常形态的威胁改进版本,通过使用“运行时模块”包括RAT功能。运行时模块允许恶意软件执行手势、触摸和其他操作。
新版本的Xenomorph是由BugDrop恶意软件投放的,该恶意软件能够击败谷歌即将推出的防止恶意软件请求可访问性服务权限的安全措施。
该恶意软件是由一个名为Hadoken Security的网络犯罪组织开发的,该组织同样是Xenomorph和Gymdrop 安卓恶意软件的幕后始作俑者。
研究人员发现的恶意应用程序伪装成二维码阅读器。
在启动应用程序时,它将请求辅助功能服务访问用户,以代表受害者执行手势和触摸。
一旦被授权,在显示加载屏幕的同时,释放器启动onion.ws,依赖于TOR协议,获取它的配置和下载安装的有效URL。”据专家分析,“在整个调查过程中,该URL从打开文件夹中的一个样本变成了一个外部URL,再次指向QR码扫描仪功能,它使用的端点与我们过去几个月在公网观察到的Gymdrop样本使用的端点非常相似。”
【----帮助网安学习,需要网安学习资料关注我,私信回复“资料”免费获取----】
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)
dropper代码中存在将错误消息发送回C2的指令,这表明它仍在开发中。
专家们注意到,从Android 13开始,谷歌阻止了在官方应用商店以外安装的应用程序的API访问。
但是,BugDrop试图通过基于会话的安装过程,部署恶意负载来绕过这一安全措施。
“在这种背景下,有必要提醒一下将于2022年秋季发布的Android 13的新安全功能。在这个新版本中,Google引入了"受限设置"feauture,阻止侧加载的应用程序请求辅助功能特权,将这种请求限制在安装了基于会话的API的应用程序中(这是应用程序商店通常使用的方法)。"据分析,“考虑到这一点,犯罪分子想要达到的目的就很明显了。可能发生的情况是,参与者正在使用一个已经构建的恶意软件,能够在受感染的设备上安装新的apk,以测试基于会话的安装方法,然后将该方法集成到一个更复杂、更精致的下载程序中。”
在完成新功能的开发后,BugDrop将为攻击者提供新的能力来瞄准银行机构,并绕过谷歌目前采用的安全解决方案。
免责声明:以上内容为互联网公开资讯的译文,仅用于有限分享,译文内容不代表译者和平台观点。
| 留言与评论(共有 0 条评论) “” |
