Source : ThreatFabric — billet de recherche analysant l’évolution des droppers Android face au Pilot Program de Google Play Protect, avec tests et exemples concrets.

Les chercheurs expliquent que les droppers Android (apps “leurres” qui téléchargent/installe un second payload) ne servent plus uniquement les trojans bancaires abusant de l’Accessibilité, mais aussi des menaces « simples » comme voleurs d’SMS et spyware. Ce pivot survient alors que Android 13 a durci permissions/APIs et que Play Protect (surtout le Pilot Program régional) bloque de plus en plus d’apps à risque.

Le Pilot Program scanne juste avant l’installation, en particulier pour les apps side-loadées, et bloque celles demandant des permissions jugées dangereuses (ex. RECEIVE_SMS, READ_SMS, BIND_Notifications, Accessibility) ou des APIs/behaviors suspects. Dans leurs tests, même une app légitime (« SMS Messenger ») issue d’une source tierce est bloquée car elle requiert ces permissions.

Les nouveaux droppers sont conçus pour ce contexte: un premier stade discret (peu de permissions, écran d’« update » anodin) passe la barrière du Pilot Program. Au clic sur « Update », le dropper récupère/décrypte le payload, puis lui fait demander les permissions sensibles au lancement, parfois selon une décision côté serveur. Play Protect peut alerter plus tard, mais si l’utilisateur confirme l’installation, le payload est livré, exploitant la fenêtre temporelle entre pré-scan et consentement utilisateur.

Exemple notable : RewardDropMiner. Historiquement multi-usage (livraison de payloads, spyware de secours, et même minage Monero (XMR) déclenchable à distance), il a récemment évolué (RewardDropMiner.B) en supprimant le mineur et le spyware de secours pour ne garder que la fonction dropper, probablement pour réduire la visibilité après des rapports publics.

D’autres familles emploient des techniques similaires : SecuriDropper (dropper en deux étapes tirant parti de l’API Session Installer pour différer les requêtes de permissions), Zombinder, BrokewellDropper, HiddenCatDropper, ou encore TiramisuDropper et Zombinder pour distribuer SpyNote, souvent via WhatsApp ou sites factices. L’objectif commun est d’adapter la livraison afin que le payload atteigne la victime malgré les défenses régionales. L’article conclut sur une tendance: les droppers deviennent des installateurs universels et plus agiles face aux contre-mesures de Google.

Indicators of Compromise (IOCs)

  • Aucun IOC spécifique (hash, domaine, package) n’est fourni dans le texte.

Tactiques, Techniques et Procédures (TTPs)

  • Staged installation / dropper à deux étapes avec écran d’« update » pour rassurer l’utilisateur.
  • Différenciation temporelle des requêtes de permissions (après installation du payload).
  • Abus de l’API Session Installer pour retarder/dissimuler les demandes de permissions.
  • Déchiffrement/téléchargement du payload à l’exécution, contrôlé côté serveur.
  • Contournement ciblé du Pilot Program (faible empreinte au stade 1, permissions sensibles reportées au stade 2).
  • Side-loading et distribution via messageries (ex. WhatsApp) ou faux sites.
  • Payloads visés : spyware, voleurs d’SMS, trojans bancaires, (ancienne variante) mineur Monero.

Type d’article et objectif principal : Analyse de menace détaillant l’adaptation des droppers Android pour contourner les contrôles du Pilot Program de Google Play Protect et illustrer cette évolution par des tests et cas concrets.

🧠 TTPs et IOCs détectés

TTP

Staged installation / dropper à deux étapes avec écran d’« update » pour rassurer l’utilisateur; Différenciation temporelle des requêtes de permissions (après installation du payload); Abus de l’API Session Installer pour retarder/dissimuler les demandes de permissions; Déchiffrement/téléchargement du payload à l’exécution, contrôlé côté serveur; Contournement ciblé du Pilot Program (faible empreinte au stade 1, permissions sensibles reportées au stade 2); Side-loading et distribution via messageries (ex. WhatsApp) ou faux sites; Payloads visés : spyware, voleurs d’SMS, trojans bancaires, (ancienne variante) mineur Monero.

IOC

Aucun IOC spécifique (hash, domaine, package) n’est fourni dans le texte.

🔗 Source originale : https://www.threatfabric.com/blogs/android-droppers-the-silent-gatekeepers-of-malware