Il gruppo di ricercatori della società di sicurezza informatica Threat Fabric ha scoperto un nuovo malware chiamato BugDrop, candidato per essere il primo capace di aggirare i nuovi recentissimi controlli di sicurezza che Google ha implementato in Android 13, meno di una settimana fa.
Indice degli argomenti
BugDrop e sicurezza Google, il punto debole è nei Servizi di Accessibilità
La recente pubblicazione dei dettagli di Android 13 ha portato con se numerosi aggiornamenti e tra questi anche alcune migliorie tecniche lato sicurezza dei dispositivi mobili. Nello specifico, per proteggere gli smartphone basati sul sistema operativo di Google e scongiurare l’infezione da malware che possa prendere il sopravvento sulla vittima, si è pensato di aggiungere una funzione di “Impostazioni limitate”.
Nella maggior parte dei casi infatti, i malware studiati per colpire Android, agiscono sull’abuso delle funzioni offerte dai Servizi di Accessibilità, i quali garantiscono livelli estremamente alti di permessi utente e privilegi sul dispositivo, utili a provocare danni e perdita di dati a seconda della funzionalità del malware che si utilizza.
Su Android 13, in uscita nel prossimo autunno, la funzione di Impostazioni limitate, consentirà di disattivare questa concessione di privilegi alle applicazioni, cercando così una soluzione a questa escalation. Come evidenzia il report di Threat Fabric, nello scenario cyber esiste già tuttavia un malware, ancora allo stato embrionale, denominato che cerca di aggirare questa nuova funzionalità di sicurezza introdotta.
Come agisce il malware BugDrop su Android 13
Il malware BugDrop, appena scoperto e ancora in fase di sviluppo al quale mancano molte funzionalità per essere considerato utilizzabile, ha attirato l’attenzione dei ricercatori nella sua implementazione in una app di lettore di codici QR, la quale richiede subito al suo avvio la concessione dei permessi sui Servizi di Accessibilità. Campanello d’allarme per un lettore QR Code il quale non giustifica l’utilizzo di tali permessi eccessivamente alti, che permetterebbero persino di gestire tocchi e movimenti sul touch screen, al posto dell’utente.
Dall’analisi della sua struttura, questo malware presenta codice simile ad un altro malware Android, dal quale ne eredita alcuni sorgenti: Brox, la sua diffusione si è avuta negli ultimi mesi del 2021.
La parte più critica del malware è quando viene utilizzata la stringa “com.example.android.apis.content.SESSION_API_PACKAGE_INSTALLED“, il cui utilizzo è finalizzato all’installazione di applicazioni mediante il metodo delle sessioni API, normalmente utilizzato dagli App Store.
Tornando infatti alla caratteristica delle “impostazioni limitate” di nuova implementazione su Android 13, si ricorda che questa lavora con restrizioni per tutte le app che non sono installate mediante questo metodo, quindi per esempio quelle esterne al Play Store.
“Con questo in mente, è chiaro cosa stanno cercando di ottenere i criminali. Quello che probabilmente sta succedendo è che gli attori stiano utilizzando un malware già costruito, in grado di installare nuovi APK su un dispositivo infetto, per testare un metodo di installazione basato sulla sessione, che verrebbe poi incorporato in un contagocce più elaborato e raffinato”, avvertono i ricercatori.
La funzionalità di BugDrop sembra proprio quella di emulare il metodo di installazione, per portare a termine setup di payload dannosi, anche quando l’utente ha abilitato le restrizioni e agire con il massimo dei privilegi concedibili, in ogni caso. In questa maniera infatti, il dispositivo riconoscerà il metodo di installazione come legittimo e non applicherà restrizioni di sicurezza.
Il risultato finale di questa ricerca è che, una volta che i problemi di funzionamento di BugDrop saranno risolti e tutte le implementazioni fatte, le nuove misure di sicurezza studiate per Android 13 da Google non saranno sufficienti a scongiurare un’infezione da malware, portando con se ancora una volta alcuni rischi intrinsechi anche nelle applicazioni presenti su Play Store, apparentemente legittime.
