Sala de prensa

El CSIRT Finaciero informa a todos los interesados sobre cada uno de los aspectos corporativos relevantes en materia de ciberseguridad.

NUEVA AMENAZA PARA DISPOSITIVOS ANDROID DE TIPO DROPPER DENOMINADO SECURIDROPPER

26/02/2024

NUEVA AMENAZA PARA DISPOSITIVOS ANDROID DE TIPO DROPPER DENOMINADO SECURIDROPPER
SecuriDropper se presenta como una herramienta de distribución sigilosa de malware en dispositivos Android en dos etapas distintas. En la primera etapa, se distribuye una aplicación que aparenta ser inofensiva, a menudo disfrazada como una aplicación legítima, pero que actúa como dropper.

Descripción

El equipo del Csirt Financiero realizó un monitoreo a través de diversas fuentes de información, donde se observó la aparición de un nuevo dropper bajo la modalidad de Dropper-as-a-service (Daas) dirigido específicamente a dispositivos Android. SecuriDropper se destaca por su capacidad para eludir las recientes restricciones de seguridad implementadas por Google en Android 13 y su capacidad de entregar software malicioso adicional.

La segunda etapa implica la instalación de una carga maliciosa en el dispositivo, lo cual se logra al persuadir a las víctimas a hacer clic en el botón "Reinstalar" de la aplicación, aparentando resolver un supuesto error de instalación. Luego, se instala una carga secundaria, que generalmente consiste en spyware o troyanos bancarios.

Una característica destacada de SecuriDropper es su capacidad para sortear las restricciones impuestas por Google en Android 13. Esto se logra mediante el uso de una API de Android diferente para instalar la carga maliciosa, lo que le permite evadir la función "Configuración restringida". Para llevar a cabo su tarea, SecuriDropper se basa en dos permisos clave: "Leer y escribir almacenamiento externo" (READ_EXTERNAL_STORAGE y WRITE_EXTERNAL_STORAGE) y "Instalar y eliminar paquetes" (REQUEST_INSTALL_PACKAGES y DELETE_PACKAGES), los cuales son solicitados durante el proceso de instalación. Una vez otorgados estos permisos, el dropper verifica si la carga útil ya está preinstalada en el dispositivo. En caso contrario, guía a los usuarios para habilitar los permisos necesarios para la instalación de la carga útil.

Vector de infección

SecuriDropper se distribuye a través de aplicaciones aparentemente inofensivas que los usuarios descargan desde sitios web de terceros y plataformas como Discord. Una vez instaladas, estas aplicaciones guían a los usuarios para habilitar permisos críticos, eludiendo las medidas de seguridad, como la "Configuración restringida" de Android 13, y permitiendo la ejecución de cargas maliciosas en los dispositivos.

Recomendaciones

La amenaza analizada puede ser mitigada o detectada en su infraestructura tecnológica aplicando las siguientes recomendaciones:

  • Verificar cada uno de los indicadores de compromiso (IoC) adjuntos en el presente producto, los cuales pueden ser implementados en sus sistemas de seguridad perimetral; por lo anterior, el equipo del Csirt Financiero recomienda validar que no se interrumpa la disponibilidad de la operación y/o prestación de sus servicios (los hash md5, sha1 y sha256 son equivalentes).
  • Asegurarse que los dispositivos Android tengan las últimas actualizaciones de seguridad y parches instalados para mitigar las vulnerabilidades explotadas por esta amenaza.
  • Utilizar soluciones de seguridad móvil confiables y actualizadas que puedan detectar y prevenir la instalación de aplicaciones maliciosas y proporcionar protección en tiempo real.
  • Establecer un monitoreo continuo de las actividades sospechosas en dispositivos Android y redes corporativas para detectar posibles amenazas.

Leer noticia: https://www.threatfabric.com/blogs/droppers-bypassing-android-13-restrictions