Tehdit aktörleri, gelişmiş güvenlik önlemlerini atlatmak için Android damlalarını giderek artan olarak artırmakta ve faydalarını sofistike bankacılık truva atlarının ötesinde SMS stealers ve temel casus yazılımlar gibi daha basit kötü amaçlı yazılım varyantlarına genişletmektedir.
Tarihsel olarak, Droppers, özellikle Android 13’ün API kısıtlamaları sınırlı doğrudan kurulumlarından sonra, erişilebilirlik hizmetleri gibi yüksek izinler gerektiren yükler için zararsız giriş noktaları olarak hizmet etti.
Bu damlalıklar, asgari risk profilleri sunarak başlangıç taramalarından kaçarak kurulum sonrası kötü amaçlı yükler getirir ve dağıtırlar.
Android kötü amaçlı yazılım kampanyaları
Son gözlemler, damlaların Hindistan ve daha geniş Asya’daki kullanıcıları hedefleyen hükümet veya bankacılık hizmetleri gibi meşru uygulamalar olarak gizlenen düşük karmaşıklık tehditlerini bile kapsülleyen stratejik bir pivotu göstermektedir.
Gelişmiş izinlere bağlı olmayan kötü amaçlı yazılımlar için aşırı görünen bu yaklaşım, iki temel zorluğu ele almaktadır: Google Play Protect’in savunmalarına karşı kaçakçılığın arttırılması ve gelecekteki uyarlamalar için operasyonel esnekliğin sağlanması.
Dalgalı kullanım artışı, Hindistan, Brezilya, Tayland ve Singapur da dahil olmak üzere yüksek riskli bölgelerde sahtekarlık korumasını artıran bir girişim olan Google’ın pilot programına uyuyor.
Bu program, kurulumları kenar yüklemeden önce gerçek zamanlı taramalar, uygulama_sms, read_sms, bind_notifications ve erişilebilirlik gibi riskli izinler veya şüpheli API’leri ve davranışları çağıran uygulamaları engelleyen uygulamaları engeller.
Rapora göre, kullanıcı etkileşiminden önce müdahale ederek, veri açığa çıkma ve cihaz uzlaşmasını önlemeyi amaçlamaktadır.
Bununla birlikte, damlalar zamansal bir güvenlik açığından yararlanır: ilk aşamaları iyi huylu bir cepheyi korur, yüksek riskli izinler istemez ve güncelleme istemleri gibi zararsız arayüzler görüntüler, böylece kurma öncesi blokları atlar.
Sadece kullanıcı etkileşimi üzerine damlalık yükü alır veya şifresini çözer, daha sonra gerekli izinleri arar ve genellikle kullanıcıların geçersiz kılabileceği ikincil uyarıları tetikler.
Mobil güvenlik için çıkarımlar
Önemli bir örnek, birincil kurulumlar başarısız olursa, geri dönüş yükleri için yapılandırılabilen gizli bir Monero kripto para madencisinin yanında casus yazılımları teslim eden çok aşamalı bir damlalık olan RewardDropMiner’dır.
RewardDropMiner.b gibi son varyantlar, madencilik bileşenlerinin ve ilgili cüzdanlarının maruz kalmasından sonra tespiti en aza indirecek, saf damla işlevselliğine akıcı hale getirilmiştir.
Bu adaptasyon, aktörlerin temel kaçınma yeteneklerini korurken adli ayak izlerini azaltmak için özellikleri nasıl budamaktadır.
Benzer şekilde, Securidropper gibi damlalar, izin isteklerini geciktirmek, Android 13 kısıtlamalarını atlamak için API’leri, Zombinder, Brokewelldropper, Hiddencatdropper ve tiramisudropper gibi aileler, mesajlaşma platformları veya phingsitions ile bankacılık ve spynot varyantlarının dağıtımlarını kolaylaştırır.
Bu gelişmeler, damlaların çok yönlü vektörlere dönüşümünü vurgular ve bu da ilkel kötü amaçlı yazılımların bölgesel savunmalarda gezinmesini sağlar.
Pilot program mekaniğini inceleyerek, saldırganlar, kurulum zamanlama boşluklarını kullanan ve yüklerin onay sonrası etkinleştirmesine izin veren düşük sinyal kod tabanlarına sahip Droppers’ı düşük sinyal kod tabanlarına sahip.
Bu kedi ve fare dinamiği, statik izin tabanlı taramalar aşamalı tehditlere karşı yetersiz olduğunu kanıtladığı için uyarlanabilir tespit stratejilerini gerektirir.
Güvenlik araştırmacıları, bu gelişen taktiklere karşı koymak için davranışsal analiz ve çalışma zamanı izlemeye öncelik vermeli ve korumaların tehdit aktör yenilikleriyle birlikte gelişmesini sağlamalıdır.
Damlalar çoğaldıkça, Android ekosistemlerini hem gelişmiş hem de basit kötü amaçlı yazılım yüklerine karşı korumak için kapsamlı, çok katmanlı savunma ihtiyacının altını çiziyorlar.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!