O Google lançou na semana passada o Android 13 no canal estável. A versão mais recente do Android vem com medidas de segurança avançadas para melhor proteção contra malware e outras ameaças. No entanto, parece que os invasores já identificaram uma maneira de contornar as novas medidas de segurança. Desenvolvedores de malware foram encontrados trabalhando em uma nova exploração para contornar as restrições em torno dos serviços de acessibilidade que o Google introduziu com o Android 13.
Os invasores estão desenvolvendo malware que pode contornar a segurança do Android 13
Como observa o Android Police, os serviços de acessibilidade facilitam o acesso dos aplicativos a dados privados. Como tal, é um dos gateways mais usados para malware Android. Para reduzir os riscos de malware, o Google não concede acesso a serviços de acessibilidade de aplicativos carregados por sideload no Android 13. Isso ocorre porque os agentes mal-intencionados podem enganar os usuários para carregar aplicativos carregados de malware que solicitam permissão de serviços de acessibilidade.
No entanto, os aplicativos baixados da Play Store ainda podem ter esse acesso porque é um serviço Android legítimo que os desenvolvedores usam para tornar seus aplicativos mais acessíveis. Essa isenção também se aplica a aplicativos baixados de lojas de aplicativos de terceiros confiáveis, como a Amazon App Store. O Google diz que essas lojas têm medidas de segurança para verificar se há malware. Os atacantes encontraram uma brecha aqui.
De acordo com a empresa de pesquisa de segurança ThreatFabric, hackers que fazem parte do grupo Hadoken estão desenvolvendo malware para Android que se baseia em malware mais antigo. Ele vem em duas partes para contornar as restrições dos serviços de acessibilidade do Google. Em primeiro lugar, os invasores fazem com que os usuários instalem um “conta-gotas” de uma loja de aplicativos legítima. Esse conta-gotas funciona como uma loja de aplicativos própria, portanto, o Google o isenta das restrições. Em seguida, instala malware no dispositivo da vítima sem restrições aos serviços de acessibilidade.
Já existem soluções alternativas para as restrições do Google em serviços de acessibilidade para aplicativos de sideload. No entanto, essas soluções alternativas são mais complexas do que essa eliminação de malware em duas etapas. Os invasores simplesmente precisam enganar os usuários do Android para baixar o “dropper”, que provavelmente será disfarçado como algum aplicativo de produtividade ou utilitário.
Evite conceder acesso de aplicativos a serviços de acessibilidade
De acordo com o ThreatFabric, o grupo Hadoken ainda está trabalhando neste projeto de malware. A empresa de pesquisa está chamando o malware em desenvolvimento de “BugDrop”. O mesmo grupo também desenvolveu o trojan Android Banking Xenomorph e outro malware dropper chamado Gymdrop. O elo comum entre os três projetos de malware são os serviços de acessibilidade do Android. Portanto, sempre que você instalar um aplicativo, não conceda permissão para usar serviços de acessibilidade, a menos que seja um aplicativo de acessibilidade. Além disso, evite instalar aplicativos não confiáveis em seu dispositivo.