19/08/22
Исследователи из ThreatFabric обнаружили ранее неизвестный троян-дроппер для Android, который в настоящее время находится в стадии разработки. Вредонос пытается проникнуть на Android-устройства с помощью новой техники, которая ранее не встречалась специалистам, а затем заразить жертву опасным трояном Xenomorph.
Эксперты назвали дроппер BugDrop и отметили, что он был разработан специально для обхода защитных функций, реализованных в Android 13. Вредонос способен обойти даже защиту специальных возможностей Accessibility Services от вредоносных программ, пишут в Securitylab.
Специалисты ThreatFabric связывают дроппер с печально известной группировкой "Hadoken Security", которая занималась разработкой и распространением вредоносного ПО Xenomorph и Gymdrop.
BugDrop, как и многие другие вредоносы использовал Accessibility API для перехвата контента на дисплее и выполнения действий от лица пользователя. В Google обратили на это внимание и приняли радикальные меры – полностью заблокировали доступ к Accessibility API приложениям, которые установлены не из Google Play.
Однако, разработчики BugDrop так просто сдаваться не собирались, поэтому выпустили новую версию дроппера, замаскировав его под считыватель QR-кодов. Эта версия развертывает вредоносную нагрузку через сессионный процесс инсталляции.
Специалисты предполагают, что злоумышленники используют уже готовую вредоносную программу, способную самостоятельно устанавливать APK на устройство жертвы. Такой подход может сделать банковские Android-трояны ещё более опасными, предупреждают исследователи.
