Android Police Teamは8月22日(米国時間)、「Malware is already bypassing Android 13’s latest security measures」において、サイバー犯罪者が8月15日にリリースされたばかりのAndroid 13を既に標的としていると伝えた。Googleが新たに設定したアクセシビリティサービスのアクセスに関するアプリの制限を回避する手法を用いたマルウェアが発見されている。

Android 13では複雑な回避策を使ってわざわざアプリに許可を与えない限り、サイドロードされたアプリがアクセシビリティサービスへのアクセスを要求できなくなっている。この処置はうっかりGoogle Playストア以外からダウンロードしてしまうマルウェアからユーザーを保護するためのもの。

アクセシビリティサービスへのアクセスにおいて、Google Playストアからダウンロードされたアプリはブロック対象外とされている。また、Google Playストア以外の他のサードパーティアプリストア(F-DroidやAmazon App Storeを想定)を介してダウンロードされたアプリも同様とされている。これはセッションベースのパッケージインストールAPIを介してインストールされたアプリをアクセシビリティサービスロックから除外することで実現されている。

しかしながら、Android Police Teamはこのブロック免除がサイバー犯罪者に悪用されていると指摘。「Hadoken」と呼ばれるサイバー犯罪者グループに属するマルウェア開発者が、新たなエクスプロイトに取り組んでいることがわかった。セキュリティベンダーのThreatFabricによると、ユーザーにインストールさせるアプリは「BugDrop」と呼ばれドロッパーとなっており、セッションベースのパッケージインストールAPIを使用してアクセシビリティサービスの有効化に関する制限なしでマルウェアをインストールさせるという。

このマルウェアはまだ初期の開発段階であり、現時点では信じられないほどバグが多いと伝えている。ThreatFabricの調査結果については他のセキュリティファームも指摘しており、Android Police TeamではAndroid 13のセキュリティを回避する今回のようなアプリはアクセシビリティサービスが弱点であるため、アクセシビリティアプリでない場合、アクセシビリティサービスを使用する許可をアプリに与えないようにするべきと助言している(参考「Android 13のセキュリティ新機能を回避する方法、サイバー犯罪者が開発中 | TECH+(テックプラス)」)。