Google ужесточает доступ к API специальных возможностей Android для борьбы с вредоносным ПО

Google ограничивает использование функций доступности в приложениях для Android после многолетних злоупотреблений со стороны банковских троянов и мобильных вредоносных программ.

Изменения, представленные в Android 17.2, ограничивают доступ к API доступности при включённом Расширенном режиме защиты. Приложения, не выполняющие ключевые функции доступности, больше не могут использовать эти службы, что закрывает распространённый вектор атак.

Злоупотребление API доступности остаётся ключевым вектором угроз

API доступности позволяет приложениям считывать содержимое экрана, управлять вводом пользователя и взаимодействовать с другими программами. Эти возможности поддерживают вспомогательные технологии, такие как экранные дикторы, брайлевские дисплеи и голосовое управление.

Разработчики вредоносного ПО использовали те же функции для получения доступа к конфиденциальным данным. Банковские трояны могут перехватывать коды двухфакторной аутентификации, захватывать учётные данные и выполнять транзакции без ведома пользователя. Злоумышленники также применяют методы наложения, чтобы имитировать легитимные приложения и записывать действия пользователя.

"Количество вредоносных фреймворков, использующих API доступности, выросло. DroidLock применяет его для кражи личных данных перед вымогательством выкупа. Albiriox использует его для установки и предоставления удалённого контроля атакующим на другом конце света", — написал Дэнни Брэдбери в блоге.

Недавний пример, описанный исследователем Malwarebytes Стефаном Дасичем, включал вредоносную программу, маскирующуюся под страницу безопасности Google и злоупотребляющую службами доступности.

Android ужесточает контроль за использованием API доступности

Google пытался ограничить неправомерное использование API в течение нескольких лет. В 2017 году компания потребовала от разработчиков обосновывать использование функций доступности, угрожая удалением из Play Store. В 2021 году были введены декларации разрешений для приложений, ориентированных на Android 12 и новее.

Согласно обновлённым правилам, приложения больше не могут свободно активировать службы доступности через программные флаги. Использовать API разрешено только программам, созданным специально для целей доступности. Менеджеры паролей и инструменты автоматизации лишаются доступа при включённом Расширенном режиме защиты.

Расширенный режим защиты также ограничивает установку приложений доверенными источниками и передачу данных через USB. Эти меры сокращают поверхность атаки, но могут повлиять на функциональность некоторых программ.