ThreatFabricは11月6日(現地時間)、「Bypassing Android 13 Restrictions with SecuriDropper」において、GoogleがAndroid 13で導入したセキュリティ対策の「制限付き設定(Restricted Settings)」を回避するマルウェア「SecuriDropper」の仕組みについて解説した。SecuriDropperは感染したデバイスに追加のマルウェアをインストールすることを目的としたドロッパ型マルウェアとされる。
-
Bypassing Android 13 Restrictions with SecuriDropper
Android 13では、非公式アプリなどサイドロードされたアプリケーションの権限に制限を加える「制限付き設定」により、マルウェアに悪用されることの多いアクセシビリティと通知リスナのアクセス権の取得を防止している。この制限付き設定はサイドロードされたアプリケーションのみに作用し、公式ストアから入手したアプリケーションは対象外とされる。
ThreatFabricは2022年にこの制限付き設定を回避する新しいドロッパ・アズ・ア・サービス(DaaS: Dropper-as-a-Service)で提供されるマルウェアファミリーを観察し、これをSecuriDropperと名付けている。また、同時期に同様の機能を主張する新しいマルウェア「Zombinder」の広告も観察したという。
ThreatFabricの分析によるとSecuriDropperは初期の段階で正規のアプリを装った、一見無害なアプリケーションとして配布されるという。次に、マーケットプレイスで使用される手順と同じAndroid APIを使用して、追加のマルウェアをダウンロードしてインストールする。このようにすることで、オペレーティングシステムはマーケットプレイスからインストールしたアプリと、SecuriDropperからインストールしたアプリ(マルウェア)を区別できなくなり、制限付き設定が回避される結果となる。
具体的に、SecuriDropperは外部ストレージの読み取りと書き込み、およびパッケージのインストールと削除の権限をユーザーに要求する。権限が与えられるとアプリが正常にインストールされていないとして、アプリの再インストールをユーザーに要求する。ユーザーが再インストールに必要なアクセス権を与えると、アプリの再インストールではなくマルウェアのインストールが正規の手順で行われる。
-
SecuriDropperによるマルウェアインストールの流れ 引用:ThreatFabric
GoogleはAndroidのバージョンを更新するごとにセキュリティを向上しているが、サイバー攻撃者も追随する形で進化を続けている。SecuriDropperの登場がこのことを物語っている。Androidデバイスのユーザーは常に最新のセキュリティについて把握し、セキュリティソリューションの導入など必要な対策を講じることが望まれている。
