Desarrolladores de malware ya evadieron la nueva función de seguridad de Android 13
Los desarrolladores de malware para Android ya están ajustando sus tácticas para evadir la nueva característica de seguridad de ‘Configuración restringida’. Esta característica fue introducida por Google en el nuevo Android 13.
Android 13 se lanzó esta semana, con el nuevo sistema operativo implementado en los dispositivos Google Pixel y el código fuente publicado en AOSP.
Como parte de este lanzamiento, Google intentó detener el malware móvil que intentaba habilitar permisos potentes de Android, como el Servicio de Accesibilidad. El objetivo de este tipo de malware es realizar un comportamiento sigiloso y malicioso en segundo plano.
Sin embargo, los analistas de Threat Fabric afirmaron hoy que los autores de malware ya están desarrollando instaladores de malware para Android que pueden evadir estas restricciones. Asimismo, estos instaladores pueden entregar payloads que disfrutan de altos privilegios en el dispositivo de un usuario.
Seguridad de Android 13
En versiones anteriores de Android, la mayoría de los programas maliciosos móviles ingresaban a millones de dispositivos a través de aplicaciones instaladoras disponibles en la Play Store. Estas, generalmente, se hacen pasar por aplicaciones legítimas.
Durante la instalación, las aplicaciones de malware solicitan a los usuarios que otorguen acceso a permisos riesgosos y luego descargan (o instalan) payloads maliciosos abusando de los privilegios del Servicio de Accesibilidad.
Los Servicios de Accesibilidad son un sistema de asistencia que se usa masivamente en Android y que permite que las aplicaciones maliciosas realicen desplazamientos y toques, retrocedan o regresen a la pantalla de inicio. Todo esto se hace sin el conocimiento o permiso del usuario.
Por lo general, el malware usa el servicio para otorgarse permisos adicionales y evitar que la víctima elimine manualmente la aplicación maliciosa.
En Android 13, los ingenieros de seguridad de Google introdujeron una función de ‘Configuración Restringida’. Esta impide que las aplicaciones descargadas soliciten privilegios del Servicio de Accesibilidad, limitando la función a los APKs de Google Play.
Sin embargo, los investigadores de ThreatFabric pudieron crear un instalador de prueba de concepto. Este evadió fácilmente esta nueva función de seguridad para obtener acceso a los Servicios de accesibilidad.
Evadiendo la configuración restringida de Android
En un nuevo informe publicado hoy, Threat Fabric descubrió un nuevo instalador de malware de Android que ya está agregando nuevas funciones para evadir la nueva función de seguridad de configuración restringida.
Mientras seguía las campañas de malware Xenomorph para Android, Threat Fabric descubrió un nuevo instalador aún en desarrollo. Este instalador recibió el nombre de “BugDrop” debido a las muchas fallas que plagan su funcionamiento en esta fase inicial.
Este novedoso instalador presenta un código similar a Brox, un proyecto de tutorial de desarrollo de malware de distribución gratuita que circula en foros de hackers. No obstante, este tiene una modificación en una cadena de la función del instalador.
“Lo que nos llamó la atención es la presencia en el código de Smali de la cadena com.example.android.apis.content.SESSION_API_PACKAGE_INSTALLED”.
“Esta cadena, que no está presente en el código original de Brox, corresponde a la acción requerida por los intentos de crear un proceso de instalación por sesión”.
Explicación de Threat Fabric en el informe.
Las aplicaciones de terceros tienen dos métodos para instalar otras aplicaciones. El primero y más común es el método de instalación no basado en sesión, que esencialmente entrega la instalación de un solo archivo APK al instalador del paquete del sistema.
El segundo es el método de instalación basado en sesión, que permite que las aplicaciones confirmen la instalación de uno o más archivos APK a la vez. Comúnmente utilizado por aplicaciones en la Play Store, permite instalar varios archivos APK de una sola vez, con aplicaciones distribuidas como un único APK “base” y varios APKs “divididos” (es decir, paquetes de lenguajes).
APIs restringidas
En Android 13, Google decidió restringir el acceso al Servicio de Accesibilidad y al Oyente de Notificaciones, dos APIs altamente privilegiadas, solo a las aplicaciones que utilizan el método de instalación basado en sesiones.
Las aplicaciones cargadas localmente a través del método de instalación basado en sesiones no verán el cuadro de diálogo “Configuración restringida” y, por lo tanto, los usuarios pueden habilitar su Servicio de accesibilidad y/o Escucha de notificaciones.
Si los instaladores de malware como BugDrop usan este método de instalación para transferir el payload de malware, Android 13 reconoce el uso de la API y no aplica la restricción.
“Cuando se implemente por completo, esta ligera modificación evadiría por completo las nuevas medidas de seguridad de Google. Esto puede suceder incluso antes de que estén efectivamente implementadas”.
Threat Fabric.
Google aún no se ha pronunciado ni ha brindado ninguna declaración oficial con respecto a este descubrimiento.
Grupo de ciberdelincuentes Hadoken
BugDrop es todavía un trabajo en progreso por parte de un grupo de creadores y operadores de malware llamado ‘Hakoden’. Hakoden también es responsable de crear el instalador Gymdrop y el troyano bancario para Android Xenomorph.
Cuando BugDrop esté listo para su implementación masiva, se espera que se use en campañas de Xenomorph. Esto permitirá el robo de credenciales en el dispositivo y el comportamiento fraudulento en los dispositivos Android más recientes.
Además, las últimas muestras de Xenomorph analizadas por Threat Fabric han agregado módulos troyanos de acceso remoto (RAT), lo que hace que el malware sea una amenaza aún más potente.
Con la finalización y resolución de todos los problemas actualmente presentes en BugDrop, los ciberdelincuentes tendrán otra arma eficaz en la guerra contra los equipos de seguridad y las instituciones bancarias. En otras palabras, podrán vencer las soluciones que Google está adoptando actualmente, que claramente no son suficientes para disuadir a los ciberdelincuentes.