Cybersecurity -onderzoekers vestigen de aandacht op een nieuwe verschuiving in het Android -malware -landschap waar druppel -apps, die meestal worden gebruikt om Banking Trojans te leveren, om ook eenvoudigere malware zoals SMS -stealers en basisspyware te distribueren.
Deze campagnes worden gepropageerd via druppper -apps die zich vermoeden als overheids- of bank -apps in India en andere delen van Azië, zei ThreatFabric vorige week in een rapport.
Het Nederlandse mobiele beveiligingsbedrijf zei dat de wijziging wordt aangedreven door recente beveiligingsbescherming die Google heeft geplaatst in geselecteerde markten zoals Singapore, Thailand, Brazilië en India om de sideloading van potentieel verdachte apps te blokkeren die gevraagd worden om gevaarlijke machtigingen zoals SMS -berichten en toegankelijkheidsdiensten, een zwaar misbruikte setting te blokkeren om kwaadaardige acties op Android -apparaten uit te voeren.
“De verdediging van Google Play Protect, met name het beoogde pilootprogramma, zijn in toenemende mate effectief in het stoppen van risicovolle apps voordat ze lopen,” zei het bedrijf. “Ten tweede willen actoren hun activiteiten toekomstbestendig maken.”
“Door zelfs basale ladingen in een druppelaar in te kappen, krijgen ze een beschermende schaal die de cheques van vandaag kan ontwijken terwijl ze flexibel genoeg blijven om payloads en draaipolken morgen te ruilen.”
ThreatFabric zei dat hoewel de strategie van Google de ante verhoogt door een kwaadwillende app te blokkeren om te worden geïnstalleerd, zelfs voordat een gebruiker ermee kan communiceren, aanvallers nieuwe manieren uitproberen om de waarborgen te omzeilen-een indicatie van het eindeloze game van gekke mole als het gaat om de beveiliging.
Dit omvat het ontwerpen van druppers, rekening houdend met het pilootprogramma van Google, zodat ze geen risicovolle machtigingen zoeken en alleen een onschadelijk “update” -scherm bedienen dat voorbij scan in de regio’s kan vliegen.
Maar alleen wanneer de gebruiker op de knop “Update” klikt, wordt de werkelijke payload opgehaald van een externe server of uitgepakt, die vervolgens de nodige machtigingen zoekt om de doelstellingen te bereiken.
“Play Protect kan waarschuwingen weergeven over de risico’s, als onderdeel van een andere scan, maar zolang de gebruiker ze accepteert, is de app geïnstalleerd en wordt de payload geleverd,” zei Threatfabric. “Dit illustreert een kritieke kloof: Play Protect maakt nog steeds risicovolle apps mogelijk door als de gebruiker toch op de installatie klikt en de malware nog steeds door het pilootprogramma glijdt.”
Een dergelijke druppelaar is RewardDropMiner, die is gevonden om samen met spyware te dienen, een Monero Cryptocurrency Miner die op afstand kan worden geactiveerd. Recente varianten van de tool omvatten echter niet langer de mijnwerkfunctionaliteit.
Sommige van de kwaadaardige apps die worden geleverd via RewardDropMiner, alle richt op gebruikers in India, worden hieronder vermeld –
- PM yojana 2025 (com.fluvdp.hrzmkgi)
- ° rto challan (com.epr.fnroyex)
- SBI Online (com.qmwownic.eqmff)
- Axis -kaart (com.tolqppj.yqmrlytfzrxa)
Andere druppelvarianten die voorkomen dat Play Protect of het pilootprogramma wordt geactiveerd, zijn onder meer Securidropper, Zombinder, BrokeWellDropper, HiddencatDropper en Tiramisudropper.
Toen Google werd bereikt voor commentaar, vertelde Google aan The Hacker News dat het geen apps heeft gevonden met behulp van deze technieken die via de Play Store zijn gedistribueerd en dat het constant nieuwe beschermingen toevoegt.
“Ongeacht waar een app vandaan komt – zelfs als deze wordt geïnstalleerd door een ‘Dropper’ -app – helpt Google Play Protect om gebruikers veilig te houden door het automatisch te controleren op bedreigingen,” zei een woordvoerder.
“Bescherming tegen deze geïdentificeerde malwareversies was al aanwezig via Google Play Protect voorafgaand aan dit rapport. Op basis van onze huidige detectie zijn er geen apps met deze versies van deze malware gevonden op Google Play. We verbeteren onze bescherming voortdurend om gebruikers te beschermen tegen slechte actoren.”
De ontwikkeling komt als Bitdefender Labs heeft gewaarschuwd voor een nieuwe campagne die kwaadaardige advertenties op Facebook gebruikt om een gratis premium -versie van de TradingView -app voor Android voor Android te trappen om uiteindelijk een verbeterde versie van de Brokewell Banking Trojan te implementeren om gevoelige informatie te controleren, te controleren en te stal en gevoelige informatie te stelen van het apparaat van het slachtoffer.
Sinds 22 juli 2025 zijn niet minder dan 75 kwaadaardige advertenties geleid en bereiken alleen tienduizenden gebruikers in de Europese Unie. De Android Attack -golf is slechts een onderdeel van een grotere malvertiserende operatie die Facebook -advertenties heeft misbruikt om ook Windows Desktops te richten onder het mom van verschillende financiële en cryptocurrency -apps.
“Deze campagne laat zien hoe cybercriminelen hun tactieken verfijnen om de gebruikersgedrag bij te houden,” zei het Roemeense cybersecuritybedrijf. “Door mobiele gebruikers te richten en malware te verbergen als vertrouwde handelstools, hopen aanvallers de groeiende afhankelijkheid van crypto -apps en financiële platforms te verzilveren.”
