據(jù)The Hacker News報(bào)道，攻擊者正在想法設(shè)防繞過 Google Play 商店的安全保護(hù)措施。安全研究人員也發(fā)現(xiàn)了一個(gè)以前未記錄的Android滴管木馬，該木馬目前正在開發(fā)中。

荷蘭網(wǎng)絡(luò)安全公司ThreatFabric的Han Sahin 在一份報(bào)告中指出，這種惡意軟件試圖使用一種從未見過的新技術(shù)來感染設(shè)備，以傳播極其危險(xiǎn)的Xenomorph銀行木馬，允許犯罪分子在受害者的設(shè)備上進(jìn)行欺詐攻擊。

該惡意軟件被ThreatFabric命名為BugDrop，是一種dropper應(yīng)用程序，其設(shè)計(jì)目的十分明確，就是為了應(yīng)對(duì)Android系統(tǒng)更新引入的新功能：使惡意軟件難以向受害者請(qǐng)求輔助功能服務(wù)權(quán)限。

ThreatFabric認(rèn)為BugDrop惡意軟件的始作俑者是臭名昭著的“Hadoken Security”網(wǎng)絡(luò)犯罪組織，該組織也是Xenomorph /Gymdrop 等Android等系列惡意軟件的幕后黑手。

從以往滴管木馬的表現(xiàn)來看，這類銀行木馬通常會(huì)利用無害的滴管應(yīng)用程序部署在Android系統(tǒng)上，滴管程序則會(huì)偽裝成具有生產(chǎn)力或比較實(shí)用的應(yīng)用程序，用戶一旦安裝，就會(huì)誘騙用戶授予侵入性權(quán)限。

例如可讀取手機(jī)屏幕內(nèi)容，并代表用戶執(zhí)行操作的Accessibility API已經(jīng)被攻擊者廣泛濫用，攻擊者可以借此捕獲賬戶密碼、財(cái)務(wù)信息等較為敏感的用戶數(shù)據(jù)。具體實(shí)現(xiàn)方式為，當(dāng)受害者打開所需的應(yīng)用程序（例如加密貨幣錢包）時(shí)，木馬會(huì)注入從遠(yuǎn)程服務(wù)器檢索到的假冒登錄表單。

鑒于大多數(shù)這些惡意應(yīng)用程序都是側(cè)載，只有在用戶允許從未知來源安裝時(shí)才有可能發(fā)生這種情況，因此谷歌在 Android 13 中采取了阻止輔助功能 API 訪問，從應(yīng)用程序商店外部安裝應(yīng)用程序的步驟。

但這并沒有阻止對(duì)手試圖繞過這個(gè)受限的安全設(shè)置。輸入 BugDrop，它可以偽裝成 QR 碼閱讀器應(yīng)用程序。安全人員親自進(jìn)行測試，可通過基于會(huì)話的安裝過程部署惡意有效負(fù)載。安全人員進(jìn)一步強(qiáng)調(diào)，“攻擊者正在使用這類惡意軟件，能夠在受感染的設(shè)備上安裝新的APK，以測試基于會(huì)話的安裝方法，并將其整合到更精細(xì)的 dropper 中，這在未來是很有可能會(huì)發(fā)生的事情?！?/p>

如果上述變化成為現(xiàn)實(shí)，可能會(huì)使銀行木馬更具威脅性，甚至能夠繞過安全防護(hù)體系，給用戶造成嚴(yán)重?fù)p失。

ThreatFabric公司也表示，“隨著BugDrop逐步完善當(dāng)前存在的各種缺陷，攻擊者在與安全團(tuán)隊(duì)、銀行機(jī)構(gòu)的戰(zhàn)爭中擁有一種全新的高威力的武器，足以擊敗谷歌目前采用的解決方案，這需要引起谷歌和安卓的警惕?！?/p>

參考來源：https://thehackernews.com/2022/08/cybercriminals-developing-bugdrop.html