有迹象表明，恶意行为者继续想方设法绕过 Google Play 商店的安全保护措施，研究人员发现了一个以前未记录的 Android dropper 木马，该木马目前正在开发中。

ThreatFabric 的 Han Sahin 在一份声明中表示：“这种新的恶意软件试图使用一种在 Android 恶意软件中从未见过的新技术来滥用设备，以传播极其危险的Xenomorph银行木马，允许犯罪分子在受害者的设备上进行设备上欺诈。”与黑客新闻。

被荷兰安全公司称为BugDrop dropper 应用程序明确设计用于击败即将推出的 Android 版本中引入的新功能，这些新功能旨在使恶意软件难以向受害者请求辅助功能服务权限。

ThreatFabric 将 dropper 归因于一个名为“Hadoken Security”的网络犯罪组织，该组织也是Xenomorph 和 Gymdrop Android 恶意软件系列的创建和分发的幕后黑手。

银行木马通常通过无害的 dropper 应用程序部署在 Android 设备上，这些恶意应用程序伪装成生产力和实用程序应用程序，一旦安装，就会诱使用户授予侵入性权限。

值得注意的是，可让应用程序读取屏幕内容并代表用户执行操作的 Accessibility API 已遭到严重滥用，使恶意软件操作员能够捕获敏感数据，例如凭据和财务信息。

这是通过所谓的覆盖攻击实现的，其中当受害者打开所需的应用程序（例如加密货币钱包）时，木马会注入从远程服务器检索到的假冒登录表单。

鉴于大多数这些恶意应用程序都是旁加载的——这只有在用户允许从未知来源安装的情况下才有可能——谷歌在 Android 13 中已采取步骤完全阻止对从应用程序商店外部安装的应用程序的辅助功能 API 访问。

但这并没有阻止对手试图绕过这个受限的安全设置。输入 BugDrop，它伪装成 QR 码阅读器应用程序，并由其作者测试，以通过基于会话的安装过程部署恶意有效负载。

“可能发生的情况是，攻击者正在使用已经构建的恶意软件，能够在受感染的设备上安装新的 APK，以测试基于会话的安装方法，然后将其整合到更精细和更精致的 dropper 中，”研究人员说。

如果这些变化成为现实，可能会使银行木马成为更危险的威胁，甚至能够在安全防御到位之前绕过它们。

“随着 BugDrop 中当前存在的所有问题的完成和解决，犯罪分子将在与安全团队和银行机构的战争中拥有另一种有效的武器，击败谷歌目前采用的解决方案，这些解决方案显然不足以阻止犯罪分子， “该公司指出。

建议用户通过仅下载已知开发商和发行商的应用程序、仔细审查应用程序评论并检查其隐私政策来避免成为隐藏在官方应用程序商店中的恶意软件的受害者。

原文始发于微信公众号（网络研究院）：BugDrop恶意软件绕过Android安全功能