Autor del artículo
Artículos escritos
1

El malware ya es capaz de saltarse los mecanismos de seguridad de Android 13

Last Updated on septiembre 26, 2022 by Daniel Cepeda

Los expertos de Threat Fabric afirman que los desarrolladores de malware para Android ya han aprendido a eludir la nueva función de seguridad de configuración restringida introducida por Google en Android 13.

Google ha lanzado Android 13 esta semana: el nuevo sistema operativo se ha desplegado en los dispositivos Google Pixel y el código fuente se ha publicado en AOSP.

En esta versión, los desarrolladores trataron de desarmar un malware que recibía poderosos permisos como AccessibilityService y luego, en segundo plano, los aplicaba a un comportamiento malicioso sigiloso. Por desgracia, los expertos escriben que los desarrolladores de malware están desarrollando nuevos droppers que pueden saltarse estas restricciones.

En Android 13, los ingenieros de Google introdujeron la función de configuración restringida, que impide que las aplicaciones de terceros soliciten privilegios de servicio de características especiales, limitando la función a los archivos APK de Google Play.

función de configuración restringida

Según los investigadores de ThreatFabric, ellos mismos fueron capaces de crear fácilmente un dropper PoC que elude la nueva protección y obtiene acceso a los Servicios de Accesibilidad.

Como recordatorio, explotar el Servicio de Accesibilidad de Google es un comportamiento clásico del malware para móviles.

El servicio se creó para facilitar el uso de las aplicaciones a las personas con discapacidad, pero los atacantes utilizan sus capacidades para interactuar con la interfaz del sistema y las aplicaciones.

Todo comenzó cuando descubrieron un nuevo dropper de Android que ya sabe cómo saltarse las restricciones de los ajustes restringidos.

El dropper se descubrió durante el seguimiento de la campaña de malware Xenomorph y fue bautizado como BugDrop (debido a una serie de fallos que impedían su funcionamiento en las primeras fases).

Resultó que el código de BugDrop era casi similar al de Brox, un proyecto diseñado para enseñar a desarrollar malware que circula libremente por los foros de hackers.

Los expertos dicen que BugDrop les llamó la atención sobre la presencia de una cadena Smali que falta en el código fuente de Brox: com.example.android.apis.content.SESSION_API_PACKAGE_INSTALLED.

</pre>
<pre class="highlight"><code>.method public constructor <init>(Context, String, c)V
          .registers 6
invoke-direct       Object-><init>()V, p0
const-string        v0, "com.example.android.apis.content.SESSION_API_PACKAGE_INSTALLED"
invoke-static       h->a(String)String, v0
const-string        v0, "~~~"
const-string        v1, "4.Update"
invoke-static       Log->d(String, String)I, v0, v1
iput-object         p1, p0, g->a:Context
iput-object         p2, p0, g->b:String
iput-object         p3, p0, g->c:c
new-instance        p1, StringBuilder
invoke-direct       StringBuilder-><init>()V, p1
const-string        p3, "using url "
invoke-virtual      StringBuilder->append(String)StringBuilder, p1, p3
invoke-virtual      StringBuilder->append(String)StringBuilder, p1, p2
invoke-virtual      StringBuilder->toString()String, p1
move-result-object  p1
invoke-static       Log->d(String, String)I, v0, p1
new-instance        p1, g$b
const/4             p2, 0
invoke-direct       g$b-><init>(g, g$a)V, p1, p0, p2
const/4             p2, 0
new-array           p2, p2, [Void
invoke-virtual      AsyncTask->execute([Object)AsyncTask, p1, p2
return-void</code></pre>
<pre>

La cuestión es que las aplicaciones de Android tienen dos formas de instalar otras aplicaciones. La primera y más común es la instalación sin sesión, que consiste esencialmente en pasar la instalación de un único archivo APK al instalador de paquetes del sistema.

El segundo método basado en la sesión permite a las aplicaciones instalar uno o más archivos APK a la vez. Este método es el que suelen utilizar las aplicaciones de la Play Store y permite instalar varios archivos APK a la vez, distribuyendo las aplicaciones como un APK “base” y varios APK “divididos”.

De hecho, los investigadores han descubierto que BugDrop pretende utilizar exactamente el segundo método de instalación (basado en la sesión, como es el caso de la Play Store), lo que significa que las restricciones no se aplicarán a dichas aplicaciones.

Esta pequeña modificación permitirá saltarse por completo las nuevas medidas de seguridad de Google antes de que entren finalmente en vigor

Por ahora, BugDrop sigue en desarrollo, y los analistas lo relacionan con el grupo de hackers Hakoden que está detrás del gotero Gymdrop y del troyano bancario para Android Xenomorph.

Cuando BugDrop esté finalmente listo para su despliegue masivo, es probable que se utilice en campañas de distribución de Xenomorfos, atacando dispositivos incluso con las últimas versiones de Android a bordo.

Peor aún, las últimas muestras de Xenomorph examinadas por Threat Fabric contenían módulos de acceso remoto, lo que hace que este malware sea aún más peligroso.

Con la finalización y resolución de todos los problemas presentes actualmente en BugDrop, los delincuentes tendrán otra arma eficiente en la guerra contra los equipos de seguridad y las instituciones bancarias, derrotando las soluciones que actualmente están siendo adoptadas por Google, que claramente no son suficientes para disuadir a los delincuentes.

Anteriormente
NoticiasUn desarrollador de Pegasus software espía escandaloso despide al director general y a más de 100 desarrolladores
Siguiente
NoticiasEliminadas de Google Play 16 apps maliciosas descargadas más de 20 millones de veces
Malas.
0
Bien.
0
Genial.
1
Añade un comentario