Os agentes de ameças não perdem tempo em buscar maneiras de distribuírem seus malwares e fazerem suas vítimas. O Google lançou o Android 13 há poucos dias, e os agentes de ameaças já estão de olho em contornar as mais recentes medidas de segurança da empresa.
Agentes de ameaças miram no Android 13
De acordo com o Android Police, uma equipe de pesquisadores encontrou um malware em andamento que está usando uma nova técnica para contornar as novas restrições do Google sobre quais aplicativos podem acessar serviços de acessibilidade.
O uso indevido de serviços de acessibilidade torna mais fácil para o malware bisbilhotar senhas e dados privados e, portanto, é um dos gateways mais usados ??para agentes mal-intencionados no Android.
Novas medidas de segurança do Android
Dado que os serviços de acessibilidade são uma opção legítima para aplicativos que desejam tornar os telefones mais acessíveis para aqueles que precisam, o Google não quer proibir o acesso a serviços de acessibilidade para todos os aplicativos.
Os aplicativos baixados da Play Store estão isentos desse bloqueio, e o mesmo vale para qualquer aplicativo baixado por meio de outra loja de aplicativos de terceiros que não seja a Play Store. Isso é feito isentando os aplicativos instalados por meio da API de instalação de pacotes baseada em sessão do bloqueio de serviços de acessibilidade.
O Google confia que as lojas de aplicativos geralmente examinam os aplicativos que oferecem, de modo que já existe uma linha de defesa em vigor. Essa isenção é exatamente o que os hackers estão aproveitando na última exploração.
Conforme coberto pelo ThreatFabric (Via: Android Police), os desenvolvedores de malware que fazem parte do grupo Hadoken estão trabalhando em uma nova exploração que se baseia em malware mais antigo que usa serviços de acessibilidade para obter informações sobre dados pessoais. Como conceder acessibilidade a aplicativos de sideload é mais difícil no Android 13, o novo malware vem em duas partes.
O primeiro aplicativo que o usuário instala é o “dropper” que funciona como uma loja de aplicativos, usando a mesma API de instalação de pacotes baseada em sessão para instalar o malware real sem as restrições de ativação de serviços de acessibilidade.
Embora o malware ainda possa solicitar que os usuários habilitem os serviços de acessibilidade para aplicativos carregados de lado, a solução alternativa para habilitá-los é significativa. É mais fácil enganar os usuários para ativar os serviços de acessibilidade com um único toque, que é o que esse novo ataque duplo alcança.
O site observa que o malware ainda está em estágios iniciais de desenvolvimento e que ainda é incrivelmente cheio de bugs e meticuloso neste momento. Em breve podemos ver ainda mais esforços dos agentes de ameaças para fazerem suas vítimas no Android 13.