网络安全研究人员揭示了一个新的Drop er-as-a-service（DaaS）的Android称为SecuriDropper，绕过谷歌施加的新的安全限制，并提供恶意软件。

Android上的滴管恶意软件被设计成一个管道，在一个受感染的设备上安装一个有效载荷，使其成为一个有利可图的商业模式的威胁行动者，谁可以宣传其他犯罪集团的能力。

更重要的是，这样做还允许对手将攻击的开发和执行与恶意软件的安装分离开来。

荷兰网络安全公司ThreatFabric在与黑客新闻分享的一份报告中说：“掉线者和他们背后的行动者一直在不断进化，因为他们努力智胜不断变化的安全措施。”

Google在Android 13中引入的一项安全措施就是所谓的”受限设置”（Restricted Settings），该设置可防止侧面加载的应用程序获取”辅助功能”和”通知侦听器”权限，这些权限经常被银行木马滥用。

SecuriDropper旨在绕过护栏而不被发现，滴管往往伪装成看似无害的apage一些在野外观察到的样本如下：

• com.appd.instll.load (Google)

• com.appd.instll.load (Google Chrome)

“SecuriDropper脱颖而出的原因是其安装过程的技术实现，”ThreatFabric解释道。”

“与之前的产品不同，这个系列使用不同的Android API来安装新的有效负载，模仿市场安装新应用程序的过程。”

具体来说，这需要请求向外部存储器读写数据的权限。（读外部存储和写外部存储）以及安装和删除包（REQUEST_INSTALL_PACKAGS和DELETE_PACKAGES）。

在第二阶段，通过敦促受害者点击应用程序上的“重新安装”按钮来解决所谓的安装错误，从而促进恶意有效载荷的安装。

ThreatFabric表示，它已经观察到Android银行木马，如SpyNote和ERMAC通过SecuriDropper分布在欺骗性网站和第三方平台，如Discord。

Zombinder是另一个也被发现提供类似限制设置绕过的下载器服务，这是一个被怀疑在今年早些时候被关闭的APK绑定工具。目前还不清楚这两个工具之间是否有任何联系。

该公司表示：“随着Android不断升级，网络犯罪分子也在适应和创新。”“Drop er-as-a-Service（DaaS）平台已成为强有力的工具，使恶意行为者能够渗透到设备中分发间谍软件和银行木马。”

当就最新的调查结果发表评论时，谷歌发言人与黑客新闻分享了以下声明：

受限设置为应用访问Android设置/权限所需的用户确认添加了额外的保护层。作为一项核心保护，Android用户始终可以控制他们向某个页面授予的权限。用户还受到Google Play Protect的保护，它可以通过Google Play服务向用户发出警告或阻止已知在Android设备上表现出恶意行为的应用。我们不断审查攻击方法，并改进Android对恶意软件的防御，以帮助保护用户的安全。