在线欺诈检测公司 ThreatFabric 报告称，最近发现的一种滴管即服务 (DaaS) 使用新技术来绕过 Android 对有效负载传输的安全限制。
该威胁被称为“ SecuriDropper ”（https://www.threatfabric.com/blogs/droppers-bypassing-android-13-restrictions ），使用“基于会话”的安装程序来旁加载恶意软件，绕过谷歌在 Android 13 中引入的受限设置功能。
受限设置可防止旁载应用程序请求可访问性和通知侦听器权限，这些权限通常会被恶意软件滥用。
对于从市场下载的应用程序，使用基于会话的包安装程序，将其与侧面加载的应用程序区分开来。
为了绕过这些限制，SecuriDropper 采用了两步感染过程，其中涉及分发看似无害的应用程序，该应用程序充当次要有效负载（通常是恶意软件）的植入程序。
ThreatFabric 发现，SecuriDropper 使用 Android API，使其能够模仿市场的安装过程，防止操作系统将有效负载识别为侧面加载，从而绕过受限设置。
该植入程序会请求读取和写入外部存储以及安装和删除软件包的权限，然后检查设备上是否安装了有效负载。
如果是，则释放器将启动它，否则提示用户“重新安装”应用程序，从而启动有效负载传送。
ThreatFabric 解释说：“在基于会话的安装之后，恶意应用程序会根据其预期目的进行操作，成功请求基本权限，同时提示用户启用 AccessibilityService，这是由于规避了 Android 13 的‘限制设置’功能而可能实现的。
”迄今为止，SecuriDropper 已被发现传播 SpyNote 间谍软件系列（还包括 RAT 功能）和 Ermac 银行木马。
除了 SecuriDropper 之外，Zombinder 是另一个宣称具有绕过受限设置功能的 DaaS。
它至少从 2022 年开始可用，本质上是在合法应用程序中注入一个滴管。
据 ThreatFabric 称，最近的 Zombinder DaaS 广告提到了对 Dropper 构建器的访问，该构建器的工作原理似乎与 SecuriDropper 类似。
参考链接：https://www.securityweek.com/dropper-service-bypassing-android-security-restrictions-to-install-malware/