Mal foi lançado, e o novo recurso de segurança do Android 13 já foi contornado pelos desenvolvedores de malware.
Os desenvolvedores de malware para Android já estão ajustando suas táticas para contornar um novo recurso de segurança de ‘configuração restrita’ introduzido pelo Google no recém-lançado Android 13.
O Android 13 foi lançado esta semana, com o novo sistema operacional sendo lançado nos dispositivos Google Pixel e o código-fonte publicado no AOSP.
Como parte desta versão, o Google tentou paralisar o malware móvel que tentava habilitar permissões poderosas do Android, como AccessibilityService, para realizar um comportamento malicioso e furtivo em segundo plano.
No entanto, os analistas da Threat Fabric hoje dizem que os autores de malware já estão desenvolvendo droppers de malware para Android que podem contornar essas restrições e fornecer cargas úteis que desfrutam de altos privilégios no dispositivo de um usuário.
Novo recurso de segurança do Android 13 já foi contornado
Nas versões anteriores do Android, a maioria dos malwares móveis chegou a milhões de dispositivos por meio de aplicativos dropper disponíveis na Play Store, que se disfarçam de aplicativos legítimos.
Durante a instalação, os aplicativos de malware solicitam que os usuários concedam acesso a permissões arriscadas e, em seguida, façam sideload (ou descarte) de cargas maliciosas, abusando dos privilégios do Serviço de Acessibilidade.
Os Serviços de Acessibilidade são um sistema de assistência a pessoas com deficiência no Android que é amplamente utilizado para permitir que os aplicativos executem furtos e toques, voltem ou retornem à tela inicial. Tudo isso é feito sem o conhecimento ou permissão do usuário.
Normalmente, o malware usa o serviço para conceder a si mesmo permissões adicionais e impedir que a vítima exclua manualmente o aplicativo malicioso.
No Android 13, os engenheiros de segurança do Google introduziram um recurso de ‘configuração restrita’, que impede que aplicativos carregados por sideload solicitem privilégios do Serviço de Acessibilidade, limitando a função a APKs originados do Google Play.
No entanto, os pesquisadores da ThreatFabric conseguiram criar um proof-of-concept dropper que contornava facilmente esse novo recurso de segurança para obter acesso aos Serviços de Acessibilidade.
Em um novo relatório divulgado, o Threat Fabric descobriu um novo dropper de malware para Android que já está adicionando novos recursos para contornar o novo recurso de segurança de configuração restrita.
Ao seguir as campanhas de malware Xenomorph Android, o Threat Fabric descobriu um novo dropper ainda em desenvolvimento. Este conta-gotas foi nomeado “BugDrop” após as muitas falhas que afligem sua operação nesta fase inicial.
Este novo dropper apresenta código semelhante ao Brox, um projeto de tutorial de desenvolvimento de malware distribuído gratuitamente que circula em fóruns de hackers, mas com uma modificação em uma string da função do instalador.
“O que chamou nossa atenção é a presença no código Smali da string “com.example.android.apis.content.SESSION_API_PACKAGE_INSTALLED”, explica o Threat Fabric no relatório.
“Esta string, que não está presente no código Brox original, corresponde à ação exigida pelos intents para criar um processo de instalação por sessão.”
A instalação baseada em sessão é usada para executar uma instalação de malware em vários estágios em um dispositivo Android, dividindo os pacotes (APKs) em partes menores e fornecendo nomes, códigos de versão e certificados de assinatura idênticos.
Dessa forma, o Android não verá a instalação da carga útil como sideload do APK e, portanto, as restrições do Serviço de Acessibilidade do Android 13 não serão aplicadas.
“Quando totalmente implementada, essa pequena modificação contornaria totalmente as novas medidas de segurança do Google, mesmo antes de serem efetivamente implementadas.”, comenta o Threat Fabric.
BugDrop ainda é um trabalho em andamento por um grupo de autores e operadores de malware chamado ‘Hakoden’, que também são responsáveis por criar o dropper Gymdrop e o trojan bancário Xenomorph Android.
Quando o BugDrop estiver pronto para implantação em massa, espera-se que seja usado em campanhas Xenomorph, permitindo roubo de credenciais no dispositivo e comportamento de fraude nos dispositivos Android mais recentes.
Além disso, as amostras mais recentes do Xenomorph analisadas pelo Threat Fabric adicionaram módulos de trojan de acesso remoto (RAT), tornando o malware uma ameaça ainda mais potente.