Los desarrolladores de malware para Android ya están ajustando sus tácticas para eludir una nueva función de seguridad de “configuración restringida” introducida por Google en el recién lanzado Android 13.
Android 13 fue lanzado esta semana, con el nuevo sistema operativo desplegado en los dispositivos Google Pixel y el código fuente publicado en AOSP.
Como parte de este lanzamiento, Google intentó paralizar el malware móvil que intentaba habilitar potentes permisos de Android, como AccessibilityService, para realizar comportamientos maliciosos y sigilosos en segundo plano.
Sin embargo, los analistas de Threat Fabric afirman que los autores de malware ya están desarrollando droppers de malware para Android que pueden saltarse estas restricciones y entregar cargas útiles que gozan de altos privilegios en el dispositivo del usuario.
En Android 13, los ingenieros de seguridad de Google introdujeron una función de “configuración restringida”, que bloquea las aplicaciones cargadas lateralmente para que no soliciten privilegios del Servicio de Accesibilidad, limitando la función a los APKs procedentes de Google Play.
Sin embargo, los investigadores de ThreatFabric fueron capaces de crear una prueba de concepto de dropper que fácilmente se saltó esta nueva característica de seguridad para obtener acceso a los Servicios de Accesibilidad.
En un nuevo informe, la compañía ha descubierto un nuevo dropper de malware para Android que ya está añadiendo nuevas funciones para saltarse la nueva función de seguridad de ajustes restringidos.
Este novedoso dropper presenta un código similar al de Brox, un proyecto tutorial de desarrollo de malware de libre distribución que circula por los foros de ciberdelincuentes, pero con una modificación en una cadena de la función de instalación.
La instalación por sesión se utiliza para realizar una instalación de malware en varias etapas en un dispositivo Android, dividiendo los paquetes (APK) en piezas más pequeñas y dándoles nombres, códigos de versión y certificados de firma idénticos.
De esta manera, Android no verá la instalación de la carga útil como una carga lateral del APK, y por lo tanto no se aplicarán las restricciones del servicio de accesibilidad de Android 13.
Info – Ciberseguridad Latam