El malware ya es capaz de saltarse los mecanismos de seguridad de Android 13
Last Updated on mayo 25, 2023 by Daniel Cepeda
Los expertos de Threat Fabric afirman que los desarrolladores de malware para Android ya han aprendido a eludir la nueva función de seguridad de configuración restringida introducida por Google en Android 13.
Google ha lanzado Android 13 esta semana: el nuevo sistema operativo se ha desplegado en los dispositivos Google Pixel y el código fuente se ha publicado en AOSP.
En esta versión, los desarrolladores trataron de desarmar un malware que recibía poderosos permisos como AccessibilityService y luego, en segundo plano, los aplicaba a un comportamiento malicioso sigiloso. Por desgracia, los expertos escriben que los desarrolladores de malware están desarrollando nuevos droppers que pueden saltarse estas restricciones.
En Android 13, los ingenieros de Google introdujeron la función de configuración restringida, que impide que las aplicaciones de terceros soliciten privilegios de servicio de características especiales, limitando la función a los archivos APK de Google Play.
Según los investigadores de ThreatFabric, ellos mismos fueron capaces de crear fácilmente un dropper PoC que elude la nueva protección y obtiene acceso a los Servicios de Accesibilidad.
Como recordatorio, explotar el Servicio de Accesibilidad de Google es un comportamiento clásico del malware para móviles.
El servicio se creó para facilitar el uso de las aplicaciones a las personas con discapacidad, pero los atacantes utilizan sus capacidades para interactuar con la interfaz del sistema y las aplicaciones.
Todo comenzó cuando descubrieron un nuevo dropper de Android que ya sabe cómo saltarse las restricciones de los ajustes restringidos.
El dropper se descubrió durante el seguimiento de la campaña de malware Xenomorph y fue bautizado como BugDrop (debido a una serie de fallos que impedían su funcionamiento en las primeras fases).
Resultó que el código de BugDrop era casi similar al de Brox, un proyecto diseñado para enseñar a desarrollar malware que circula libremente por los foros de hackers.
Los expertos dicen que BugDrop les llamó la atención sobre la presencia de una cadena Smali que falta en el código fuente de Brox: com.example.android.apis.content.SESSION_API_PACKAGE_INSTALLED.
</pre> <pre class="highlight"><code>.method public constructor <init>(Context, String, c)V .registers 6 invoke-direct Object-><init>()V, p0 const-string v0, "com.example.android.apis.content.SESSION_API_PACKAGE_INSTALLED" invoke-static h->a(String)String, v0 const-string v0, "~~~" const-string v1, "4.Update" invoke-static Log->d(String, String)I, v0, v1 iput-object p1, p0, g->a:Context iput-object p2, p0, g->b:String iput-object p3, p0, g->c:c new-instance p1, StringBuilder invoke-direct StringBuilder-><init>()V, p1 const-string p3, "using url " invoke-virtual StringBuilder->append(String)StringBuilder, p1, p3 invoke-virtual StringBuilder->append(String)StringBuilder, p1, p2 invoke-virtual StringBuilder->toString()String, p1 move-result-object p1 invoke-static Log->d(String, String)I, v0, p1 new-instance p1, g$b const/4 p2, 0 invoke-direct g$b-><init>(g, g$a)V, p1, p0, p2 const/4 p2, 0 new-array p2, p2, [Void invoke-virtual AsyncTask->execute([Object)AsyncTask, p1, p2 return-void</code></pre> <pre>
La cuestión es que las aplicaciones de Android tienen dos formas de instalar otras aplicaciones. La primera y más común es la instalación sin sesión, que consiste esencialmente en pasar la instalación de un único archivo APK al instalador de paquetes del sistema.
El segundo método basado en la sesión permite a las aplicaciones instalar uno o más archivos APK a la vez. Este método es el que suelen utilizar las aplicaciones de la Play Store y permite instalar varios archivos APK a la vez, distribuyendo las aplicaciones como un APK “base” y varios APK “divididos”.
De hecho, los investigadores han descubierto que BugDrop pretende utilizar exactamente el segundo método de instalación (basado en la sesión, como es el caso de la Play Store), lo que significa que las restricciones no se aplicarán a dichas aplicaciones.
Por ahora, BugDrop sigue en desarrollo, y los analistas lo relacionan con el grupo de hackers Hakoden que está detrás del gotero Gymdrop y del troyano bancario para Android Xenomorph.
Cuando BugDrop esté finalmente listo para su despliegue masivo, es probable que se utilice en campañas de distribución de Xenomorfos, atacando dispositivos incluso con las últimas versiones de Android a bordo.
Peor aún, las últimas muestras de Xenomorph examinadas por Threat Fabric contenían módulos de acceso remoto, lo que hace que este malware sea aún más peligroso.
Con la finalización y resolución de todos los problemas presentes actualmente en BugDrop, los delincuentes tendrán otra arma eficiente en la guerra contra los equipos de seguridad y las instituciones bancarias, derrotando las soluciones que actualmente están siendo adoptadas por Google, que claramente no son suficientes para disuadir a los delincuentes.
Anteriormente