趋势科技研究人员发现了一个攻击活动,该活动利用 Google Play 商店中的 17 个看似无害的 Android 应用程序(统称为DawDropper)来分发银行木马。
DawDropper应用程序伪装成生产力和实用工具应用程序,例如文档扫描仪、VPN 服务、二维码阅读器和通话记录器。
这些恶意APP被发现投放了四个银行木马家族,包括 Octo、Hydra、Ermac和TeaBot。所有恶意软件都使用 Firebase 实时数据库(一种用于存储数据的合法云托管 NoSQL 数据库)作为 (C&C) 服务器,并在 GitHub 上托管恶意负载。
趋势科技还发现了另一个被追踪为Clast82的 dropper ,由CheckPoint Research 于 2021 年 3 月发现。DawDropper 和 Clast82 都使用 Firebase 实时数据库作为 C&C 服务器。
研究人员观察到今年早些时候推出的银行木马投递器具有硬编码的恶意载荷下载地址。同时,最近推出的银行dropper旨在隐藏实际的payload下载地址,有时使用第三方服务作为其C&C服务器,并使用GitHub等第三方服务托管恶意payload。
以下是在 Play 商店中发现的恶意 DawDropper 应用程序列表:
- Call Recorder APK (com.caduta.aisevsk)
- Rooster VPN (com.vpntool.androidweb)
- Super Cleaner- hyper & smart (com.j2ca.callrecorder)
- Document Scanner – PDF Creator (com.codeword.docscann)
- Universal Saver Pro (com.virtualapps.universalsaver)
- Eagle photo editor (com.techmediapro.photoediting)
- Call recorder pro+ (com.chestudio.callrecorder)
- Extra Cleaner (com.casualplay.leadbro)
- Crypto Utils (com.utilsmycrypto.mainer)
- FixCleaner (com.cleaner.fixgate)
- Just In: Video Motion (com.olivia.openpuremind)
- com.myunique.sequencestore
- com.flowmysequto.yamer
- com.qaz.universalsaver
- Lucky Cleaner (com.luckyg.cleaner)
- Simpli Cleaner (com.scando.qukscanner)
- Unicc QR Scanner (com.qrdscannerratedx)
参考链接:securityaffairs.co
