Η Google κυκλοφόρησε το Android 13 τον Αύγουστο και οι χάκερ έχουν ήδη βάλει στόχο να παρακάμψουν τα τελευταία μέτρα ασφαλείας της εταιρείας. Μια ομάδα ερευνητών ανακάλυψε ένα κακόβουλο λογισμικό σε εξέλιξη που χρησιμοποιεί μια νέα τεχνική για να αποφύγει τους νέους περιορισμούς της Google σχετικά με τους οποίους οι εφαρμογές μπορούν να έχουν πρόσβαση σε υπηρεσίες προσβασιμότητας.
Η κακή χρήση των υπηρεσιών προσβασιμότητας διευκολύνει το κακόβουλο λογισμικό στην υποκλοπή κωδικών πρόσβασης και ιδιωτικών δεδομένων και, ως εκ τούτου, είναι μία από τις πιο χρησιμοποιούμενες πύλες για κακόβουλες δράσεις στο Android.
Για να καταλάβουμε τι συμβαίνει, πρέπει να εξετάσουμε τα νέα μέτρα ασφαλείας του Android 13. Το νέο OS δεν επιτρέπει στις sideloaded εφαρμογές να ζητούν πρόσβαση σε υπηρεσίες προσβασιμότητας, εκτός εάν καταβάλετε κάθε δυνατή προσπάθεια για να παραχωρήσετε την άδεια στην εν λόγω εφαρμογή χρησιμοποιώντας μια περίπλοκη λύση. Αυτό προορίζεται ως προστασία από κακόβουλο λογισμικό που κάποιος άπειρος μπορεί να έχει κατεβάσει εκτός του Play Store, όπως κάποιος ύπουλος σαρωτής QR code.
Μια εφαρμογή όπως αυτή συνήθως ζητά από τους χρήστες να της επιτρέψουν να χρησιμοποιεί υπηρεσίες προσβασιμότητας, αλλά αυτή η επιλογή δεν είναι πλέον άμεσα διαθέσιμη για εφαρμογές από εξωτερικά καταστήματα εφαρμογών.
Δεδομένου ότι οι υπηρεσίες προσβασιμότητας είναι μια νόμιμη επιλογή για εφαρμογές που θέλουν να κάνουν τα τηλέφωνα πιο προσβάσιμα για όσους έχουν ανάγκη, η Google δεν θέλει να απαγορεύσει οριστικά την πρόσβαση σε υπηρεσίες προσβασιμότητας για όλες τις εφαρμογές.
Οι εφαρμογές που λαμβάνονται από το Play Store εξαιρούνται από αυτό και το ίδιο ισχύει για κάθε εφαρμογή που γίνεται λήψη μέσω άλλου καταστήματος εφαρμογών τρίτου κατασκευαστή εκτός του Play Store, όπως F-Droid, Amazon App Store, και άλλα. Αυτό γίνεται με την εξαίρεση των εφαρμογών που έχουν εγκατασταθεί μέσω του API εγκατάστασης πακέτων βάσει περιόδου λειτουργίας από το κλείδωμα των υπηρεσιών προσβασιμότητας. Το σκεπτικό της Google εδώ είναι ότι τα καταστήματα εφαρμογών συνήθως ελέγχουν τις εφαρμογές που προσφέρουν, έτσι ώστε να υπάρχει ήδη μια γραμμή άμυνας. Ωστόσο, αυτή η εξαίρεση είναι ακριβώς αυτό που εκμεταλλεύονται οι χάκερ στο πιο πρόσφατο exploit.
Όπως αναφέρει το ThreatFabric, οι προγραμματιστές κακόβουλου λογισμικού που ανήκουν στην ομάδα Hadoken εργάζονται σε ένα νέο exploit που βασίζεται σε παλαιότερο κακόβουλο λογισμικό που χρησιμοποιεί υπηρεσίες προσβασιμότητας για να αποκτήσουν πληροφορίες για τα προσωπικά δεδομένα.
Δεδομένου ότι η παραχώρηση προσβασιμότητας σε sideloaded εφαρμογές είναι πιο δύσκολη στο Android 13, το νέο κακόβουλο λογισμικό διατίθεται σε δύο μέρη. Η πρώτη εφαρμογή που εγκαθιστά ο χρήστης είναι το “dropper” που λειτουργεί σαν κατάστημα εφαρμογών, χρησιμοποιώντας το ίδιο API εγκατάστασης πακέτων που βασίζεται σε περίοδο λειτουργίας για να εγκαταστήσει το πραγματικό κομμάτι κακόβουλου λογισμικού χωρίς περιορισμούς στην ενεργοποίηση υπηρεσιών προσβασιμότητας.
- Ενώ το κακόβουλο λογισμικό θα μπορούσε να ζητήσει από τους χρήστες να ενεργοποιήσουν τις υπηρεσίες προσβασιμότητας για εφαρμογές που έχουν γίνει sideload, η λύση για την ενεργοποίησή τους είναι σημαντική. Είναι πιο εύκολο να ξεγελάσεις τους χρήστες να ενεργοποιήσουν τις υπηρεσίες προσβασιμότητας με ένα μόνο πάτημα, κάτι που επιτυγχάνει αυτή η νέα διπλή επίθεση.
Το ThreatFabric σημειώνει ότι το κακόβουλο λογισμικό βρίσκεται ακόμα σε πρώιμα στάδια ανάπτυξης και ότι εξακολουθεί να είναι απίστευτα μπερδεμένο και δύσκολο στην εφαρμογή του, σε αυτό το σημείο. Αυτός είναι ο λόγος για τον οποίο η εταιρεία αποφάσισε να ονομάσει το νέο κακόβουλο λογισμικό “BugDrop”, καθώς δεν είναι ακόμη στο ίδιο επίπεδο με τον υπόλοιπο κώδικα της ομάδας χάκερ.
Προηγουμένως, η ομάδα Hadoken είχε ασχοληθεί με ένα άλλο dropper project που ονομάζεται Gymdrop, το οποίο χρησιμεύει επίσης για τη διανομή άλλων κακόβουλων προγραμμάτων. Η ομάδα δημιούργησε επιπλέον κάποιο τραπεζικό κακόβουλο λογισμικό που ονομάζεται Xenomorph. Για όλα αυτά, οι υπηρεσίες προσβασιμότητας είναι ο αδύναμος κρίκος, επομένως, ό,τι κι αν κάνετε, μην εκχωρήσετε σε μια εφαρμογή άδεια να χρησιμοποιεί υπηρεσίες προσβασιμότητας, εάν δεν είναι σχετική εφαρμογή – με το Tasker να είναι μία από τις εξαιρετικά ελάχιστες εξαιρέσεις.