Due giorni fa, Google ha avviato la distribuzione di Android 13 per i dispositivi Pixel. Tra le varie novità relative alla sicurezza c’è la funzionalità denominata Restricted Settings che impedisce alle app scaricate da sorgenti sconosciute di utilizzare i servizi di accessibilità. Purtroppo gli autori del malware BugDrop hanno già trovato il modo per aggirare questa protezione.
Android 13: protezione non sufficiente
Google permette agli utenti di installare app tramite sideloading, ovvero file APK pubblicati su vari siti. Questa possibilità viene sfruttata dai cybercriminali per distribuire malware, molti dei quali abusano dei servizi di accessibilità. In Android 13 è stata aggiunta la funzionalità Restricted Settings che impedisce alle app non distribuite tramite Google Play Store di ottenere i privilegi elevati concessi dai servizi di accessibilità.
Durante l’analisi del malware Xenomorph, i ricercatori di ThreatFabric hanno scoperto un nuovo dropper, denominato BugDrop in quanto ancora in sviluppo, derivato da Brox, un altro malware molto popolare nei forum del dark web. Nel codice di BugDrop è presente una stringa assente nel codice di Brox che consente l’installazione basata sulle sessioni.
Si tratta di un metodo, solitamente usato dalle app distribuite tramite Google Play Store, che permette l’installazione multi-stadio attraverso la suddivisione dei pacchetti APK in piccoli pezzi. Android 13 non rileva quindi il sideloading, consentendo l’uso dei servizi di accessibilità. Ciò rende inutile la funzionalità Restricted Settings.
A meno che Google non trovi una soluzione, la nuova protezione di Android 13 potrebbe essere aggirata dalle nuove versioni dei malware. Gli utenti dovrebbero sempre evitare il download di app da fonti sconosciute e installare una soluzione di sicurezza che blocca questo tipo di minaccia.