Wraz z postępem technologicznym w sferze szkodliwego oprogramowania, równolegle rozwijają się też serwisy oferowane przez cyberprzestępców, którzy pragną ułatwić wejście na ścieżkę hakerską. Jeśli intencją złodzieja danych jest wprowadzenie na Twoje urządzenie złośliwego kodu bez Twojej wiedzy, może skorzystać z usług dostawców dropperów, którzy pomogą mu w realizacji tego zamiaru.
Zastanówmy się więc, czym właściwie są droppery jako usługa i jak można się przed nimi chronić.
Co to jest dropper?
Dropper to rodzaj konia trojańskiego, który na pierwszy rzut oka sprawia wrażenie nieszkodliwego, lecz w rzeczywistości skrywa w sobie niebezpieczną niespodziankę. Istotą działania koni trojańskich jest maskowanie swojej prawdziwej natury, tak aby wprowadzić w błąd użytkownika lub system, który uznaje je za bezpieczne. Stąd też ich nazwa nawiązuje do słynnego konia trojańskiego z historii.
Same droppery nie zawierają w sobie szkodliwego kodu. Oznacza to, że skanowanie programu typu dropper przy użyciu oprogramowania antywirusowego zazwyczaj nie wykaże jego szkodliwej aktywności. W tej fazie program dropper podejmuje próbę osadzenia się w systemie, starając się uzyskać dostęp do określonych funkcji i plików.
Użytkownik, przekonany o nieszkodliwości droppera, często udziela mu wymaganych uprawnień. Wtedy też rozpoczyna się drugi etap – dropper nawiązuje kontakt z serwerami dystrybuującymi złośliwe oprogramowanie. Następnie, wykorzystując uzyskane wcześniej zgody, instaluje szkodliwy kod w systemie, unikając wykrycia.
Jeśli chcesz zgłębić wiedzę na temat tej odmiany złośliwego oprogramowania, koniecznie sprawdź, czym jest trojan dropper.
Co to jest „dropper jako usługa”?
Droppery jako usługa to element większej kategorii serwisów oferowanych przez przestępców w podziemnym świecie internetu. Być może spotkałeś się już z określeniem „jako usługa” w kontekście szkodliwego oprogramowania, na przykład w przypadku oprogramowania ransomware jako usługi.
W tym przypadku osoby oferujące droppery jako usługę specjalizują się w tworzeniu tych programów i udostępniają swoją wiedzę na czarnym rynku. Ich klientami są twórcy złośliwego oprogramowania, którzy posiadają gotowy szkodliwy ładunek, ale potrzebują wsparcia w jego dystrybucji. Ci programiści zwracają się do dostawców dropperów, aby pomóc im obejść zabezpieczenia programów antywirusowych.
Usługi dropperów na czarnym rynku mogą być oferowane po bardzo niskich cenach. Według doniesień z The Register, ceny za dostarczenie 1000 jednostek szkodliwego oprogramowania zaczynają się od 2 dolarów, co jest kwotą niemalże symboliczną dla twórców złośliwego oprogramowania, które może przynieść im znaczne korzyści finansowe.
Należy jednak pamiętać, że nie wszystko, co kończy się określeniem „jako usługa”, jest złe. Przykładem może być sztuczna inteligencja jako usługa, która umożliwia firmom i klientom wykorzystywanie rozwiązań AI w celach niekomercyjnych.
Przykład dropperów jako usługi: SecuriDropper
Aby lepiej zrozumieć, jak funkcjonują droppery jako usługa, przeanalizujmy konkretny przykład. SecuriDropper to szczególnie niebezpieczna odmiana droppera, która atakuje telefony z systemem Android, instalując na nich złośliwe oprogramowanie.
Jak informuje Bleeping Computer, SecuriDropper został opracowany w taki sposób, aby obejść zabezpieczenia systemu Android 14. Standardowo, aplikacje spoza oficjalnego sklepu Google Play nie mają dostępu do wrażliwych funkcji telefonu, takich jak ustawienia dostępności.
Aby ominąć to ograniczenie, cyberprzestępca umieszcza SecuriDroppera w pozornie nieszkodliwej aplikacji, a następnie publikuje ją na zewnętrznej stronie internetowej. Niektóre aplikacje zawierające SecuriDroppera podszywają się pod popularne programy; na przykład wykryto aplikację, która udawała Tłumacza Google. W tym stanie aplikacja nie zawiera jeszcze złośliwego kodu, więc skanery antywirusowe nie wykrywają w niej zagrożenia.
Następnie ofiara pobiera aplikację i próbuje ją zainstalować. Podczas instalacji aplikacja prosi o zgodę na dostęp do pamięci telefonu. Po uzyskaniu zgody, program wyświetla fałszywy komunikat o błędzie, informując o niepowodzeniu instalacji. Następnie pojawia się przycisk, którego naciśnięcie rzekomo ma zainstalować aplikację ponownie.
Gdy użytkownik kliknie przycisk, dropper kontaktuje się z serwerami, z których pobierane jest złośliwe oprogramowanie. Ponieważ użytkownik wcześniej udzielił aplikacji dostępu do pamięci telefonu, dropper może zainstalować szkodliwy ładunek w sposób, który nie wzbudzi podejrzeń systemu Android 14.
Dzięki temu aplikacja może żądać uprawnień, które zazwyczaj nie są dostępne dla aplikacji pobranych z zewnętrznych źródeł. A jeśli użytkownik je zaakceptuje, złośliwe oprogramowanie uzyska pełen dostęp do wszystkich niezbędnych zasobów.
SecuriDropper jest wykorzystywany do dystrybucji różnych typów złośliwego oprogramowania. Niektóre warianty instalują na przykład SpyNote, program umożliwiający przejęcie kontroli nad danymi w telefonie, inne natomiast instalują trojany bankowe, podszywające się pod przeglądarkę Chrome.
Jak chronić się przed złośliwym oprogramowaniem typu dropper?
Złośliwe oprogramowanie typu dropper może wydawać się groźne, ale najczęściej można je spotkać na stronach internetowych osób trzecich. Dlatego zaleca się pobieranie aplikacji wyłącznie z oficjalnych, zaufanych źródeł.
W przypadku komputerów instaluj aplikacje tylko z oficjalnych stron internetowych producentów. Czasami do pobierania używany jest zewnętrzny host, jednak przed pobraniem zawsze sprawdź, czy strona internetowa jest bezpieczna.
Jeśli Twój system operacyjny oferuje sklep z aplikacjami, korzystaj z niego. Platformy handlowe takie jak Microsoft Store i Google Play stosują mechanizmy bezpieczeństwa, które chronią użytkowników przed zagrożeniami, takimi jak droppery.
Należy jednak zachować ostrożność i nie ufać bezgranicznie wszystkim aplikacjom w oficjalnym sklepie. Cyberprzestępcy nieustannie szukają sposobów, aby wprowadzać złośliwe aplikacje do tych sklepów. Google Play, na przykład, nie jest w 100% odporny na zagrożenia.
Na szczęście te same zasady, które pomagają wykryć fałszywe aplikacje w Google Play, sprawdzają się także w innych sklepach. Jeśli coś w aplikacji wydaje Ci się podejrzane, zrezygnuj z jej pobierania.
Ochrona przed złośliwym oprogramowaniem typu dropper
Choć droppery są szkodliwe, można się przed nimi chronić, stosując dobre praktyki w sieci podczas pobierania aplikacji. Szczególnie teraz, gdy droppery są oferowane jako usługa, ochrona przed nimi jest ważniejsza niż kiedykolwiek.