Wydano Google Android 13 zaledwie kilka dni temu, ale hakerzy już skupili się na tym, jak ominąć najnowsze zabezpieczenia. Zespół badaczy odkrył złośliwe oprogramowanie, które wykorzystuje nową technikę do obchodzenia nowych ograniczeń Google dotyczących dostępu aplikacji do usług ułatwień dostępu. Nadużywanie tych usług ułatwia złośliwemu oprogramowaniu śledzenie haseł i prywatnych danych, co czyni je jedną z najczęściej wykorzystywanych przez hakerów bramek do Androidu.
Aby zrozumieć, co się dzieje, musimy przyjrzeć się nowym środkom bezpieczeństwa wdrażanym przez Google Androidu 13 zaimplementowano. Nowa wersja systemu nie pozwala już aplikacjom ładowanym z boku na żądanie dostępu do usługi ułatwień dostępu. Ta zmiana ma na celu ochronę przed złośliwym oprogramowaniem, które niedoświadczona osoba mogła niechcący pobrać poza Sklepem Google Play. Wcześniej taka aplikacja prosiłaby o pozwolenie na korzystanie z usług ułatwień dostępu, ale teraz ta opcja nie jest już tak łatwo dostępna w przypadku aplikacji pobranych poza Google Store.
Galeria zdjęć
Ponieważ usługi ułatwień dostępu są uzasadnioną opcją w przypadku aplikacji, które naprawdę chcą zwiększyć dostępność telefonów dla użytkowników, którzy ich potrzebują, Google nie chce blokować dostępu do tych usług wszystkim aplikacjom. Zakaz nie dotyczy aplikacji pobranych z jej sklepu oraz ze sklepów zewnętrznych, takich jak F-Droid czy Amazon App Store. Technologiczny gigant przekonuje tutaj, że sklepy te zazwyczaj weryfikują oferowane przez siebie aplikacje, więc mają już pewną ochronę.
Jak odkrył zespół badaczy bezpieczeństwa ThreatFabrictwórcy złośliwego oprogramowania z grupy Hadoken pracują nad nowym exploitem, który opiera się na starszym złośliwym oprogramowaniu, które wykorzystuje usługi ułatwiające uzyskanie dostępu do danych osobowych. Ponieważ udzielanie uprawnień aplikacjom pobranym „na boki” jest v AndroidW wersji 13 trudniejszej szkodliwe oprogramowanie składa się z dwóch części. Pierwszą aplikacją instalowaną przez użytkownika jest tzw. dropper, który zachowuje się jak każda inna aplikacja pobrana ze sklepu i wykorzystuje to samo API do instalowania pakietów, aby następnie zainstalować „prawdziwy” złośliwy kod bez ograniczeń włączania usług dostępności.
Mógłbyś być zainteresowany
Chociaż złośliwe oprogramowanie może nadal prosić użytkowników o włączenie usług ułatwień dostępu dla aplikacji ładowanych z boku, rozwiązanie polegające na ich włączeniu jest skomplikowane. Łatwiej jest nakłonić użytkowników do aktywacji tych usług jednym dotknięciem i właśnie temu służy to podwójne cudo. Zespół badaczy zauważa, że szkodliwe oprogramowanie, które nazwali BugDrop, znajduje się wciąż na wczesnym etapie rozwoju i samo w sobie jest obecnie mocno „zabugowane”. Grupa Hadoken opracowała wcześniej inny dropper (zwany Gymdrop), który również był używany do rozprzestrzeniania złośliwego oprogramowania, a także stworzyła szkodliwe oprogramowanie bankowe Xenomorph. Usługi ułatwień dostępu są słabym ogniwem dla tych złośliwych kodów, więc cokolwiek zrobisz, nie zezwalaj żadnej aplikacji na dostęp do tych usług, chyba że jest to aplikacja ułatwiająca dostęp (z wyjątkiem Tasker, aplikacji do automatyzacji zadań na smartfony).
