Pembuat Malware Bisa Kelabui Sistem Keamanan Baru di Android 13

"Kami tertarik dengan keberadaan dalam kode Smali dari string 'com.example.android.apis.content.SESSION_API_PACKAGE_INSTALLED," jelas Threat Fabric dalam laporannya.

"String ini, yang tidak ada dalam kode Brox asli, sesuai dengan tindakan diperlukan dengan tujuan untuk membuat proses penginstalan berdasarkan sesi."

Adapun instalasi berbasis sesi digunakan untuk melakukan instalasi malware secara bertahap ke perangkat Android, dengan cara membagi APK menjadi bagian lebih kecil.

Dengan begitu, mereka akan memiliki mereka nama, kode versi, dan sertifikat penandatanganan yang identik.

Dengan cara ini, Android tidak akan melihat penginstalan payload sebagai sideloading APK, dan pembatasan Layanan Aksesibilitas Android 13 tidak akan berlaku.

Di versi Android sebelumnya, sebagian besar malware masuk ke jutaan perangkat melalui aplikasi yang disamarkan sebagai aplikasi resmi di Play Store.

Selama instalasi, aplikasi malware meminta pengguna untuk memberikan akses lebih dan kemudian sideload (atau menjatuhkan) muatan berbahaya dengan menyalahgunakan hak aksesibilitas layanan.

Layanan Aksesibilitas adalah sistem bantuan disabilitas yang disalahgunakan, dan memungkinkan aplikasi melakukan gesekan dan ketukan, kembali atau kembali ke layar beranda. Semua ini dilakukan tanpa sepengetahuan atau izin pengguna.

Biasanya, malware menggunakan layanan untuk memberikan izin tambahan kepada dirinya sendiri dan menghentikan korban dari menghapus aplikasi berbahaya secara manual.

Di Android 13, tim keamanan Google memperkenalkan fitur 'Pengaturan terbatas' dimana memblokir aplikasi yang dipindahkan dari permintaan hak aksesibilitas layanan, membatasi fungsi ke APK dari Google Play.

Para peneliti di ThreatFabric mampu membuat penetes konsep yang dengan mudah melewati fitur keamanan baru ini untuk mendapatkan akses ke Layanan Aksesibilitas.

(Ysl/Tin)