Il malware sta già aggirando le ultime misure di sicurezza di Android 13

Google ha rilasciato Android 13 ad agosto e gli hacker hanno già gli occhi puntati sull’elusione delle ultime misure di sicurezza dell’azienda. Un team di ricercatori ha trovato un malware in lavorazione che utilizza una nuova tecnica per eludere le nuove restrizioni di Google sulle app che possono accedere ai servizi di accessibilità. L’uso improprio dei servizi di accessibilità rende più facile per il malware spiare password e dati privati ​​ed è quindi uno degli strumenti più utilizzati per i malintenzionati su Android.

Per capire cosa sta succedendo, dobbiamo esaminare le nuove misure di sicurezza. Android 13 non consente più alle app di richiedere l’accesso ai servizi di accessibilità a meno che tu non faccia di tutto per concedere tale autorizzazione all’app utilizzando una soluzione contorta . Questo è inteso come una protezione contro il malware che qualcuno inesperto potrebbe aver scaricato inavvertitamente dall’esterno del Play Store, come un losco scanner di codici QR. Un’app del genere di solito chiederebbe quindi agli utenti di consentirle di utilizzare i servizi di accessibilità, ma tale opzione non è più prontamente disponibile per le app degli app store esterni.

Dato che i servizi di accessibilità sono un’opzione legittima per le app che vogliono rendere i telefoni più accessibili a coloro che ne hanno bisogno, Google non vuole vietare completamente l’accesso ai servizi di accessibilità per tutte le app, però. Le applicazioni scaricate dal Play Store sono esenti da questo blocco e lo stesso vale per qualsiasi app scaricata tramite un altro app store di terze parti diverso dal Play Store (si pensi a F-Droid o Amazon App Store). Ciò avviene esentando le app installate tramite l’API di installazione del pacchetto basata sulla sessione dal blocco dei servizi di accessibilità. Il ragionamento di Google qui è che gli app store di solito controllano le applicazioni che offrono, in modo che ci sia già una linea di difesa in atto. Tuttavia, questa esenzione è esattamente ciò di cui stanno approfittando gli hacker nell’ultimo exploit.

Gli sviluppatori di malware che fanno parte del gruppo Hadoken stanno lavorando a un nuovo exploit che si basa sul malware più vecchio che utilizza i servizi di accessibilità per ottenere informazioni dettagliate sui dati personali. Poiché garantire l’accessibilità alle app con sideload è più difficile su Android 13, il nuovo malware è diviso in due parti. La prima app che l’utente installa è il “contagocce” che agisce come un app store, utilizzando la stessa API di installazione del pacchetto basata sulla sessione per installare il malware effettivo senza le restrizioni sull’attivazione dei servizi di accessibilità.

Sebbene il malware possa ancora chiedere agli utenti di abilitare i servizi di accessibilità per le app caricate lateralmente, la soluzione alternativa per abilitarli è significativa. È più facile indurre gli utenti ad attivare i servizi di accessibilità con un solo tocco, che è ciò che ottiene questo nuovo duplice attacco.

ThreatFabric rileva che il malware è ancora nelle prime fasi di sviluppo e che a questo punto è ancora incredibilmente pieno di bug e schizzinosi. Ecco perché l’azienda ha deciso di chiamare il nuovo malware “BugDrop”, poiché non è ancora all’altezza del resto del codice del gruppo di hacker. In precedenza, il gruppo Hadoken ha ideato un altro progetto contagocce chiamato Gymdrop, che serve anche a distribuire altro malware. Il gruppo ha inoltre creato un malware bancario chiamato Xenomorph. Per tutti questi, i servizi di accessibilità sono l’anello debole, quindi qualunque cosa tu faccia, non concedere a un’app l’autorizzazione a utilizzare i servizi di accessibilità se non è un’app di accessibilità (con Tasker che è un’eccezione in particolare).