SecuriDropperとZombinderの回避機能

SecuriDropperは、名前が示す通り、ドロッパー型マルウェアです。
追加のバイナリを侵害環境に取得する動きをします。
特徴を見てみましょう。

• 制限付き設定の回避
  各種OSには次々に新しい防御のための機構が実装されていきます。
  Androidも13になり、制限付き設定が導入されました。
  制限付き設定が有効な状態において、外部ソースからのアプリケーションに対して、Android13はアクセシビリティサービスの利用を許可しません。
  これにより、権限の許可の警告画面が出た際に、よく確認せずに許可してしまうユーザの安全を向上させることができます。
  ただ、この機構にも抜け道がありました。
  外部ソースからの入手なのか、公式ストアからの入手なのかの判定機構が十分ではないのです。
  果たして、公式ストアからのダウンロードであることを模倣する機構がSecuriDropperに実装されました。
  SecuriDropper経由で入手される追加のマルウェアは、制限付き設定の判定機構的には公式ストアから入手したアプリとなってしまいました。
• DaaSとして提供
  DaaSはDropper-as-a-Serviceです。
  SecuriDropperを作成した脅威アクターは、作成したドロッパーをDaaSとして提供する作戦を選択しました。

時をほぼ同じくして、同じ謳い文句の別のマルウェアも確認されています。
Zombinderです。
Zombinderは悪意のないアプリのビルドを実行する際に、マルウェアのコードを悪意のないアプリにバインドすることのできる機能を持つアプリビルダーです。
そして制限付き設定の回避機能を持つドロッパー機能も提供すると謳われています。

SecuriDropperのようなマルウェアは犯罪の分業化を促進します。
こういったものを利用する権利を入手した別の脅威アクターは、侵害先で実行する悪事を実行する部分のマルウェアの開発に専念することができるようになります。

正規のOSや有名なアプリには、次々に新しい安全のための機構が実装されていきます。
これらは安全性を高めてくれる重要な取り組みです。
しかし、常にイタチごっこのような状況になるのだということを認識しておく必要がありそうです。

参考記事（外部リンク）：Bypassing Android 13 Restrictions with SecuriDropper
www.threatfabric.com/blogs/droppers-bypassing-android-13-restrictions