資安威脅趨勢 - 惡意程式載入器SecuriDropper繞過新版安卓防護機制部署惡意程式
惡意程式載入器SecuriDropper繞過新版安卓防護機制部署惡意程式
一、摘要
於近期,資安業者ThreatFabric揭露名為SecuriDropper的惡意程式載入工具,其偽裝成合法應用程式引誘使用者上當並安裝,一旦使用者依照指示安裝,就會提供了讀寫內部儲存空間、安裝、刪除套件的權限,且駭客會利用惡意程式仔入工具部署SpyNote、Ermac、Zombinder等惡意程式。
二、存在風險
Google於去年8月發布的Android 13中,導入了名為受限設定(Restricted Settings)的安全措施,目的是為了防範駭客濫用作業系統功能並在安卓裝置中植入惡意程式,該安全措施可防堵外部的APK安裝程式,使其無法存取影響層面廣泛的功能,如輔助功能、通知監聽功能。但於近期,資安業者ThreatFabric揭露名為SecuriDropper的惡意程式載入工具,其偽裝成合法應用程式引誘使用者上當並安裝,一旦使用者依照指示安裝,就會提供了讀寫內部儲存空間、安裝、刪除套件的權限,且駭客會利用惡意程式仔入工具部署SpyNote、Ermac、Zombinder等惡意程式。
IoC:
- Package Name:com.appd.instll.load(Google),Hash256:22630eee4fdf1958e6c98721f0ccc522b2413a6f6c49f315f34c45726bf18b2d
- Package Name:com.appd.instll.load(Chrome),Hash256:2f64dd679494bdfba962bdc8ec6fb5e13ec4c754f12d494291442dc3e4862a93
- Package Name:pole.pst.read(Google),Hash256:22630eee4fdf1958e6c98721f0ccc522b2413a6f6c49f315f34c45726bf18b2d
- Package Name:com.jakedegivuwuwe.yewo(Chrome),Hash256:13daf7b94124c142d509b036516eb3d532c22696574d8cd5d65aa9d636c293a9
建議改善措施:不要安裝來路不明之應用程式。
情資報告連結:https://www.threatfabric.com/blogs/droppers-bypassing-android-13-restrictions