2023-11-08 10:12:32

与黑客的斗争是一场持续不断的战斗。威胁行为者再次找到了绕过Android安全措施的方法，这次是通过植入程序。Dropper是伪装成合法应用程序的恶意软件的初始组件。它的主要功能是尝试将有效负载下载到您的设备上。根据最近的一份报告，新的Dropper-as-a-Service(DaaS)SecuriDropper已成功规避Android13中升级的安全措施。

为了打击通过旁加载应用程序传播恶意软件，Android13引入了一项名为“受限设置”的功能。侧载应用程序(从非官方应用程序商店获得的应用程序)为Android用户带来了便利，同时也带来了重大的安全问题。旁加载应用程序提供了下载GooglePlay商店中未提供的应用程序的途径。然而，这种自由是有代价的：更容易受到恶意软件的攻击。虽然GooglePlay商店设有防范恶意软件的安全措施，但旁加载的应用程序并未受到同等程度的审查。侧载应用程序缺乏安全性，成为恶意软件渗透Android设备的一个经常被利用的网关。

受限设置功能可防止旁加载应用程序直接请求访问辅助功能设置和通知侦听器，这两个功能通常被恶意软件利用。旁加载应用程序访问这些功能的唯一方法是欺骗您的设备，使其相信它们是从Play商店下载的官方应用程序。旁加载应用程序与官方应用程序的安装方法不同。官方应用程序使用“基于会话”的软件包安装程序，而旁加载应用程序则不然。

SecuriDropper登场，这是一款超越其前辈的先进Dropper即服务

Dropper-as-a-Service是威胁行为者付费将恶意软件分发到设备的一项服务。它允许将恶意软件开发和应用程序开发分开。SecuriDropper采用两阶段方法：首先，它分发看似无害且合法的应用程序，然后在安装过程中请求“读取和写入外部存储”以及“安装和删除包”权限。

在第二阶段，如果设备上已存在恶意软件，它就会下载并运行恶意软件。如果恶意软件尚不存在，该应用程序将启动一系列复杂的过程。在这些步骤中，应用程序通过一系列定制的消息引导用户下载有效负载。然后，它提供了一个“重新安装”按钮，用于下载有效负载并指导用户完成必要的权限和安装类型。SecuriDropper的与众不同之处在于其先进的定制消息传递系统，以及实现基于会话的有效负载安装的能力。安装恶意软件(可能是间谍软件或旨在损害隐私或财务安全的银行木马)后，植入程序会将自己伪装成各种不同的合法应用程序。

Zombinder是一种以前为人所知的Dropper-as-a-Service，现在又重新出现在地下论坛上。恶意软件开发者正在宣传他们通过Zombinder分发恶意软件的服务，价格为1000美元。Zombinder有效地将合法软件与恶意软件结合起来，而不改变原始应用程序的行为。该捆绑应用程序可以绕过GoogleProtect警报和其他安全功能，使其成为交付各种类型有效负载的多功能工具。

SecuriDropper等新型DaaS工具的出现以及Zombinder的复兴说明了恶意软件分发市场的蓬勃发展。