Các chuyên gia phát hiện hoạt động tội phạm mạng dropper-as-a-service (DaaS) mới, có tên ‘SecuriDropper’, sử dụng phương pháp bỏ qua tính năng ‘Restricted Settings ‘ trong Android để cài đặt mã độc.
Cài đặt hạn chế (Restricted Settings) là tính năng an ninh được giới thiệu ở Android 13 nhằm ngăn các ứng dụng side-load (tệp APK) cài đặt từ bên ngoài Google Play truy cập vào Trợ năng và Notification Listener. Hai quyền này thường bị mã độc lợi dụng, Restricted Settings sẽ giúp bảo vệ người dùng bằng cách hiển thị cảnh báo khi ứng dụng yêu cầu các quyền này.
Trợ năng (Accessibility) có thể bị lợi dụng để chụp text trên màn hình, cấp các quyền bổ sung và thực hiện các hành động điều hướng từ xa, trong khi Notification Listener cho phép lấy cắp mật khẩu một lần (one-time password).
SecuriDropper áp dụng kỹ thuật sử dụng API cài đặt session-based cho các file APK (gói Android) độc hại, cài đặt chúng theo nhiều bước, bao gồm gói “base” và các file dữ liệu “split” khác nhau. Bằng cách này, Restricted Settings sẽ bị vượt qua và người dùng không được hiển thị hộp thoại cảnh báo không cấp quyền cho mã độc. Thậm chí người dùng đã nâng cấp lên Android 14 vừa ra mắt cũng sẽ vẫn bị mã độc tấn công theo phương thức này.
SecuriDropper lây nhiễm vào các thiết bị Android thông qua giả dạng một ứng dụng hợp pháp, thường mạo danh ứng dụng Google, bản cập nhật Android, trình phát video, ứng dụng bảo mật hoặc trò chơi… sau đó cài đặt payload thứ hai, một dạng phần mềm độc hại.
Để đảm bảo an toàn trước các cuộc tấn công, người dùng Android nên tránh tải xuống file APK từ các nguồn không tin cậy.
Nguồn: Bleeping Computer