2022年8月18日 / 最終更新日 : 2022年8月18日 Kazuo_Komoriya ほぼこもセキュリティニュース

すり抜けるBugdrop

ほぼこもセキュリティニュース By Terilogy Worx

Bugdropは名前の通りドロッパーです。
目的のマルウェアを侵害先環境に展開するために使用されます。
この種の活動を抑止するための機構はOSに追加されていきます。

BugdropはAndroid環境向けマルウェアです。
Androidには次々と安全化機構が実装されていっています。
たとえば2022年8月15日に発表されたAndroid13では制限付き設定という機能が追加されています。
これはサイドロードされたアプリケーションがアクセシビリティサービスの権限を要求するのをブロックし、機能をGooglePlayソースのAPKに制限します。
Androidはこの機能によってサイドロードされることを抑止しようとしたのです。
しかしこの機能には抜け道がありました。

com.example.android.apis.content.SESSION_API_PACKAGE_INSTALLEDというものがあります。
このコードは、段階的にアプリを転送してきて環境にインストールする際に使用されます。
アプリストアで新しいアプリをインストールするときやインストール済みのアプリを更新する際に、少しずつパーセントが上がっていってインストールされる様子を見たことがありますよね?
ああいった段階的な転送を行ってアプリをインストールする動きをします。
このような方式でファイルを転送する場合、前述の制限付き設定が作用しないようなのです。

幸いなことにBugdropにはまだバグがあり現時点では全体としては機能しません。
しかしいずれ問題は解消され機能する状態になってしまうことでしょう。

ところであなたのAndroidのアプリのインストールの設定項目の中にある「不明なアプリをインストール」の設定は無効になっていますか?
この設定が無効になってるとこの脅威の影響が小さくなることが期待できます。
今回の件がなかったとしても、怪しい目的がある場合に利用されることのあるものですのでこれは無効にしておいた方がよさそうです。

新たな安全のための機構が実装されるとそれを回避するマルウェアが出てきます。
イタチごっこですね。

参考記事(外部リンク):Bugdrop: the first malware trying to circumvent Google’s
security Controls
www.threatfabric.com/blogs/bugdrop-new-dropper-bypassing-google-security-measures.html

カテゴリー
ほぼこもセキュリティニュース
脅威インテリジェンス

前の記事

コラム:MITRE ATT&CK(マイターアタック)でセキュリティカバレージを可視化しよう 第3回 THXシリーズのカバレージ
2022年8月18日
ほぼこもセキュリティニュース
ほぼこもセキュリティNews②

次の記事

Cobalt Strikeの細切れで検出回避
2022年8月19日