Android kötü amaçlı yazılım geliştiricileri, yeni yayınlanan Android 13’te Google tarafından sunulan yeni bir ‘Kısıtlı ayar’ güvenlik özelliğini atlamak için taktiklerini şimdiden ayarlıyor.
Android 13, bu hafta piyasaya sürüldü ve yeni işletim sistemi Google Pixel cihazlarına ve kaynak koduna sunuldu. AOSP’de yayınlandı.
Bu sürümün bir parçası olarak Google, Erişilebilirlik Hizmeti gibi güçlü Android izinlerini etkinleştirmeye çalışan mobil kötü amaçlı yazılımları arka planda kötü niyetli, gizli davranışlar sergilemeye çalıştı.
Ancak bugün Threat Fabric analistleri, kötü amaçlı yazılım yazarlarının bu kısıtlamaları aşabilen ve bir kullanıcının cihazında yüksek ayrıcalıklara sahip yükler sağlayan Android kötü amaçlı yazılım damlalıkları geliştirdiğini söylüyor.
Android 13 güvenlik
Önceki Android sürümlerinde, mobil kötü amaçlı yazılımların çoğu, Play Store’da bulunan ve meşru uygulamalar gibi görünen damlalıklı uygulamalar aracılığıyla milyonlarca cihazın içine giriyordu.
Yükleme sırasında, kötü amaçlı yazılım uygulamaları, kullanıcılardan riskli izinlere erişim vermelerini ve ardından Erişilebilirlik Hizmeti ayrıcalıklarını kötüye kullanarak kötü amaçlı yükleri yandan yüklemelerini (veya düşürmelerini) ister.
Erişilebilirlik Hizmetleri, uygulamaların kaydırma ve dokunma gerçekleştirmesine, geri dönmesine veya ana ekrana dönmesine olanak tanıyan, Android’de büyük ölçüde kötüye kullanılan bir engellilik yardım sistemidir. Bütün bunlar kullanıcının bilgisi veya izni olmadan yapılır.
Tipik olarak, kötü amaçlı yazılım, kendisine ek izinler vermek ve kurbanın kötü amaçlı uygulamayı manuel olarak silmesini durdurmak için hizmeti kullanır.
Android 13’te, Google’ın güvenlik mühendisleri, yandan yüklenen uygulamaların Erişilebilirlik Hizmeti ayrıcalıkları istemesini engelleyen ve işlevi Google Play kaynaklı APK’larla sınırlayan bir ‘Kısıtlı ayar’ özelliği sundu.
Ancak, ThreatFabric’teki araştırmacılar, kavram kanıtı damlalığı oluşturun Erişilebilirlik Hizmetlerine erişmek için bu yeni güvenlik özelliğini kolayca atlayan.
Android’in Kısıtlı ayarlarını atlamak
Bugün yayınlanan yeni bir raporda Threat Fabric, yeni Kısıtlı ayar güvenlik özelliğini atlamak için zaten yeni özellikler ekleyen yeni bir Android kötü amaçlı yazılım düşürücü keşfetti.
takip ederken Xenomorph Android kötü amaçlı yazılım kampanyaları, Threat Fabric, hala geliştirilmekte olan yeni bir damlalık keşfetti. Bu damlalık, bu erken aşamada çalışmasını engelleyen birçok kusurdan sonra “BugDrop” olarak adlandırıldı.
Bu yeni dropper, bilgisayar korsanı forumlarında dolaşan, ancak yükleyici işlevinin bir dizisinde değişiklik yapılan, ücretsiz olarak dağıtılan bir kötü amaçlı yazılım geliştirme eğitim projesi olan Brox’a benzer bir koda sahiptir.
“Dikkatimizi çeken şey, “com.example.android.apis.content.SESSION_API_PACKAGE_INSTALLED” dizesinin Smali kodundaki varlığıdır,” Raporda Threat Fabric’i açıklıyor.
“Orijinal Brox kodunda bulunmayan bu dize, oturuma göre bir yükleme işlemi oluşturma niyetlerinin gerektirdiği eyleme karşılık gelir.”
Bir işlemi gerçekleştirmek için oturum tabanlı kurulum kullanılır. çok aşamalı kurulum paketleri (APK’ler) daha küçük parçalara bölerek ve onlara aynı adları, sürüm kodlarını ve imza sertifikalarını vererek bir Android cihaza kötü amaçlı yazılım yükleme.
Bu şekilde, Android, yük yüklemesini APK’nın yandan yüklenmesi olarak görmez ve bu nedenle Android 13’ün Erişilebilirlik Hizmeti kısıtlamaları uygulanmaz.
Threat Fabric, “Tam olarak uygulandığında, bu küçük değişiklik, Google’ın yeni güvenlik önlemlerini etkin bir şekilde uygulanmadan önce bile tamamen atlatacaktır” diyor.
BleepingComputer, bu atlama hakkında daha fazla soru için Google’a ulaştı ve herhangi bir yanıtla hikayeyi güncelleyecektir.
hadoken grubu
BugDrop, Gymdrop dropper’ı ve Xenomorph Android bankacılık truva atını oluşturmaktan da sorumlu olan ‘Hakoden’ adlı bir grup kötü amaçlı yazılım yazarı ve operatörü tarafından halen devam eden bir çalışmadır.
BugDrop toplu dağıtım için hazır olduğunda, Xenomorph kampanyalarında kullanılması ve en yeni Android cihazlarda cihaz üzerinde kimlik bilgisi hırsızlığı ve dolandırıcılık davranışına olanak sağlaması bekleniyor.
Ek olarak, Threat Fabric tarafından analiz edilen en son Xenomorph örnekleri, uzaktan erişim truva atı (RAT) modülleri ekleyerek kötü amaçlı yazılımı daha da güçlü bir tehdit haline getirdi.