Google a lancé Android 13 en août, et les pirates cherchent déjà à contourner les dernières mesures de sécurité de l’entreprise. Une équipe de chercheurs a découvert un malware en cours qui utilise une nouvelle technique pour échapper aux nouvelles restrictions de Google sur les applications qui peuvent accéder aux services d’accessibilité. L’abus des services d’accessibilité permet aux logiciels malveillants d’espionner plus facilement les mots de passe et les données privées, et est donc l’une des passerelles les plus utilisées pour les mauvais acteurs sur Android.
Pour comprendre ce qui se passe, nous devons examiner les nouvelles mesures de sécurité d’Android 13 avant de plonger. Android 13 n’autorise plus les applications chargées latéralement à demander l’accès aux services d’accessibilité, sauf si vous faites tout votre possible pour accorder l’autorisation à ladite application en utilisant une solution de contournement alambiquée. Ceci est destiné à protéger contre les logiciels malveillants qu’une personne inexpérimentée pourrait avoir téléchargés par inadvertance en dehors du Play Store, comme un scanner de code QR louche. Une telle application demanderait alors généralement aux utilisateurs de l’autoriser à utiliser les services d’accessibilité, mais cette option n’est plus facilement disponible pour les applications des magasins d’applications tiers.
Étant donné que les services d’accessibilité sont une option légitime pour des applications comme fais veut rendre les téléphones plus accessibles à ceux qui en ont besoin, Google ne veut pas interdire purement et simplement l’accès aux services d’accessibilité pour toutes les applications. Les applications téléchargées depuis le Play Store sont exemptées de ce blocage, de même que toutes les applications téléchargées via un magasin d’applications tiers autre que le Play Store (pensez à F-Droid ou à l’Amazon App Store). Cela se fait en exemptant les applications installées via l’API d’installation de package basée sur la session du verrou des services d’accessibilité. Le raisonnement de Google ici est que les magasins d’applications vérifient généralement les applications qu’ils proposent, il y a donc déjà une ligne de défense en place. Cette exception est exactement ce dont les pirates profitent dans le dernier exploit.
Comme couvert par ThreatFabric, les développeurs de logiciels malveillants qui font partie du groupe Hadoken travaillent sur un nouvel exploit qui s’appuie sur des logiciels malveillants plus anciens qui utilisent des services d’accessibilité pour mieux comprendre les données personnelles. Comme il est plus difficile d’accéder aux applications téléchargées sur Android 13, le nouveau malware se présente en deux parties. La première application que l’utilisateur installe est le “dropper”, qui agit comme un magasin d’applications et utilise la même API d’installation de package basée sur la session pour installer le logiciel malveillant réel sans les limitations de l’activation des services d’accessibilité.
Alors que les logiciels malveillants pourrait demandent toujours aux utilisateurs d’activer les services d’accessibilité pour les applications téléchargées, la solution pour les activer est importante. Il est plus facile d’inciter les utilisateurs à activer les services d’accessibilité en un seul clic, ce que cette nouvelle attaque à deux volets accomplit.
ThreatFabric note que le logiciel malveillant en est encore aux premiers stades de développement et qu’il est encore incroyablement bogué et capricieux à ce stade. C’est pourquoi la société a décidé d’appeler le logiciel malveillant récemment découvert “BugDrop”, car il n’est pas encore à la hauteur du code du reste du groupe de hackers. Auparavant, le groupe Hadoken a fait éclore un autre projet de compte-gouttes appelé Gymdrop, qui sert également à distribuer d’autres logiciels malveillants. Le groupe a également créé un logiciel bancaire appelé Xenomorph. Pour tous ces éléments, les services d’accessibilité sont le maillon faible, donc quoi que vous fassiez, n’autorisez pas une application à utiliser les services d’accessibilité si ce n’est pas une application d’accessibilité (avec Tasker étant une exception notable).
