Google выпустил Android 13 всего несколько дней назад, но хакеры уже сосредоточились на том, как обойти его последние меры безопасности. Группа исследователей обнаружила разрабатываемое вредоносное ПО, которое использует новую технику для обхода новых ограничений Google на доступ приложений к службам специальных возможностей. Злоупотребление этими службами позволяет вредоносным программам легко отслеживать пароли и личные данные, что делает их одним из наиболее часто используемых хакерами шлюзов для доступа. Androidu.
Чтобы понять, что происходит, нам нужно взглянуть на новые меры безопасности, которые внедряет Google. Androidтебе 13 реализовано. Новая версия системы больше не позволяет загруженным приложениям запрашивать доступ к службе специальных возможностей. Это изменение предназначено для защиты от вредоносного ПО, которое неопытный человек мог случайно загрузить за пределами Google Play Store. Раньше такое приложение запрашивало разрешение на использование служб специальных возможностей, но теперь эта опция не так доступна для приложений, загруженных за пределами Google Store.
Фотогалерея
Поскольку службы специальных возможностей являются законным вариантом для приложений, которые искренне хотят сделать телефоны более доступными для пользователей, которые в них нуждаются, Google не хочет запрещать доступ к этим службам для всех приложений. Запрет не распространяется на приложения, загруженные из его магазина и из сторонних магазинов, таких как F-Droid или Amazon App Store. Технический гигант утверждает, что эти магазины обычно проверяют предлагаемые ими приложения, поэтому у них уже есть определенная защита.
Как выяснила команда исследователей безопасности ThreatFabricРазработчики вредоносного ПО из группы Hadoken работают над новым эксплойтом, основанным на старом вредоносном ПО, использующем службы упрощения доступа к личным данным. Поскольку предоставление разрешения приложениям, загруженным «побочно», v Androidu 13 сложнее, вредоносное ПО состоит из двух частей. Первое приложение, которое устанавливает пользователь, — это так называемый дроппер, который ведет себя как любое другое приложение, загруженное из магазина, и использует тот же API для установки пакетов, а затем устанавливает «настоящий» вредоносный код без ограничений включения служб специальных возможностей.
Вас может заинтересовать
Несмотря на то, что вредоносное ПО по-прежнему может просить пользователей включить службы специальных возможностей для загруженных приложений, решение по их включению является сложным. Легче уговорить пользователей активировать эти службы одним касанием, и именно этого и добивается этот двойной удар. Команда исследователей отмечает, что вредоносное ПО, которое они назвали BugDrop, все еще находится на ранних стадиях разработки и в настоящее время само по себе сильно «исправлено ошибками». Ранее группа Hadoken разработала еще один дроппер (под названием Gymdrop), который также использовался для распространения вредоносного ПО, а также создала банковское вредоносное ПО Xenomorph. Службы специальных возможностей являются слабым звеном для этих вредоносных кодов, поэтому, что бы вы ни делали, не разрешайте никакому приложению получать доступ к этим службам, кроме приложений специальных возможностей (за исключением Tasker, приложения для автоматизации задач смартфона).
