Google a publié Android 13 en août, et les pirates ont déjà l’intention de contourner les dernières mesures de sécurité. Une équipe de chercheurs a découvert un logiciel malveillant/malware en cours d’élaboration qui utilise une nouvelle technique pour contourner les nouvelles restrictions de Google concernant les applications qui peuvent accéder aux services d’accessibilité. L’utilisation abusive des services d’accessibilité permet aux logiciels malveillants d’espionner plus facilement les mots de passe et les données privées, et constitue donc l’une des passerelles les plus utilisées par les mauvais acteurs sur Android.
Pour comprendre ce qui se passe, nous devons examiner les nouvelles mesures de sécurité d’Android 13 avant de nous y plonger. Android 13 n’autorise plus les applications chargées en parallèle à demander l’accès aux services d’accessibilité, à moins que vous ne fassiez tout votre possible pour accorder cette permission à l’aide d’une solution de contournement. Il s’agit d’une protection contre les logiciels malveillants qu’une personne inexpérimentée pourrait avoir téléchargés par inadvertance en dehors du Play Store, comme un scanner de codes QR. Une application de ce type demanderait alors généralement aux utilisateurs de l’autoriser à utiliser les services d’accessibilité, mais cette option n’est plus disponible pour les applications provenant de magasins d’applications externes.
Étant donné que les services d’accessibilité constituent une option pour les applications qui souhaitent rendre les téléphones plus accessibles aux personnes qui en ont besoin, Google ne souhaite pas interdire purement et simplement l’accès aux services d’accessibilité pour toutes les applications. Les applications téléchargées depuis le Play Store sont exemptées de ce blocage, et il en va de même pour toute application téléchargée via un magasin d’applications tiers autre que le Play Store (F-Droid ou Amazon App Store). Pour ce faire, les applications installées via l’API d’installation de paquets par session sont exemptées du verrouillage des services d’accessibilité. Le raisonnement de Google est que les magasins d’applications contrôlent généralement les applications qu’ils proposent, de sorte qu’une ligne de défense est déjà en place. Cette exemption est exactement ce dont les pirates tirent profit dans le dernier exploit.
Malware authors are starting to bypass Android 13's new security restrictions around accessibility services. ThreatFabric's post doesn't go into detail on how the security feature works, but you can learn more from my article that originally detailed it: https://t.co/VCSg2QV0SO https://t.co/piQBJRo2uo
— Mishaal Rahman (@MishaalRahman) August 17, 2022
Les développeurs de malware du groupe Hadoken travaillent sur un nouvel exploit qui s’appuie sur un ancien logiciel malveillant utilisant les services d’accessibilité pour accéder aux données personnelles. Étant donné qu’il est plus difficile d’autoriser l’accès aux applications téléchargées en parallèle sur Android 13, le nouveau malware se présente en deux parties. La première application que l’utilisateur installe est le « dropper » qui agit comme une boutique d’applications, utilisant la même API d’installation de paquets basée sur la session pour installer le véritable logiciel malveillant sans les restrictions d’activation des services d’accessibilité.
Bien que les logiciels malveillants puissent toujours demander aux utilisateurs d’activer les services d’accessibilité pour les applications, la solution de contournement pour les activer est importante. Il est plus facile de tromper les utilisateurs en les incitant à activer les services d’accessibilité d’un seul coup, ce que réalise cette nouvelle attaque double.
Le logiciel malveillant en est encore aux premiers stades de développement et il est encore incroyablement bogué à ce stade. C’est pourquoi Google a décidé d’appeler ce nouveau malware « BugDrop », car il n’est pas encore à la hauteur du reste du code du groupe de pirates. Auparavant, le groupe Hadoken avait lancé un autre projet de dropper appelé Gymdrop, qui sert également à distribuer d’autres logiciels malveillants. Le groupe a également créé un malware bancaire appelé Xenomorph. Dans tous ces cas, les services d’accessibilité sont le maillon faible, alors quoi que vous fassiez, n’accordez pas à une application la permission d’utiliser les services d’accessibilité si elle n’est pas une application qui nécessite véritablement la gestion d’accessibilité.