È emersa una nuova minaccia per Android che sta destando preoccupazione tra gli esperti di sicurezza. Soprannominata "SecuriDropper", quest'ultima operazione di criminalità informatica ha trovato il modo di aggirare le funzioni di sicurezza di Android per installare malware sui dispositivi, consentendo ai criminali informatici di accedere ai servizi di accessibilità. Ciò che rende questa minaccia particolarmente allarmante è la sua capacità di aggirare la funzione "Restricted Settings" di Android, progettata per impedire alle applicazioni installate tramite APK di accedere a funzioni sensibili.
La funzione Restricted Settings, introdotta con Android 13, ha rappresentato un significativo passo avanti nella protezione degli utenti dalle applicazioni dannose. L'obiettivo era quello di limitare l'accesso delle applicazioni caricate tramite sideload a funzioni potenti come le impostazioni di accessibilità e il listener delle notifiche, spesso abusate dai malware. Questa funzione di sicurezza visualizza un avviso quando vengono richieste queste autorizzazioni, mettendo in guardia gli utenti dal concederle.
SecuriDropper opera sfruttando un'API, installando gli APK in più passaggi, aggirando così le impostazioni limitate. Ciò consente al malware di accedere a permessi pericolosi senza attivare alcun avviso.
Ancora più preoccupante è che questo "trucco" non è limitato ad Android 13, ma continua a rappresentare una minaccia in Android 14, come riportato da BleepingComputer. ThreatFabric, una società di sicurezza informatica, ha scoperto l'uso di questa tecnica da parte di SecuriDropper per caricare malware sui dispositivi Android, prendendo di mira vari sottosistemi.
SecuriDropper si infiltra nei dispositivi Android camuffandosi da applicazioni legittime, spesso spacciandosi per applicazioni Google, aggiornamenti Android, lettori video, applicazioni di sicurezza o giochi. Una volta installato, si assicura l'accesso a permessi come "Read & Write External Storage" e "Install & Delete Packages". Il payload maligno viene installato attraverso una UI ingannevole, spingendo gli utenti a fare clic su un pulsante "Reinstalla" dopo la visualizzazione di falsi messaggi di errore.
Il malware distribuito tramite SecuriDropper include SpyNote, che si maschera da Google Translate, nonché trojan bancari come Ermac, il quale si camuffa da browser Chrome. Questi trojan prendono di mira in particolare le applicazioni di criptovaluta e di e-banking.
ThreatFabric ha inoltre segnalato la ricomparsa di Zombinder, un'operazione Dropper-as-a-Service documentata per la prima volta nel dicembre 2022. Zombinder utilizza una strategia simile per aggirare le impostazioni limitate, consentendo ai payload dannosi di accedere alle impostazioni di accessibilità durante l'installazione.
Per proteggersi da queste minacce, si consiglia agli utenti Android di evitare di scaricare file APK da fonti sconosciute o inaffidabili. È inoltre fondamentale rivedere e revocare i permessi delle app andando su Impostazioni → App → [Nome app] → Permessi.
Google ha rassicurato gli utenti che sta lavorando costantemente per migliorare le difese di Android contro le minacce informatiche e proteggere gli utenti con Google Play Protect. Questo ulteriore livello di protezione aiuta ad avvisare gli utenti o a bloccare le app con comportamenti dannosi.