Programari maliciós mòbil DawDropper

DawDropper és una amenaça utilitzada pels ciberdelinqüents en les etapes inicials d'una infecció de programari maliciós. Més concretament, DawDropper és un programari maliciós encarregat de lliurar les càrregues útils de la següent etapa a un dispositiu que ja s'ha trencat. L'amenaça s'adreça als dispositius Android i s'ha observat que majoritàriament recupera i executa troians bancaris com Ermac 2.0 , Octo , Hydra i TeaBot .

L'amenaça DawDropper s'ofereix a la venda als cibercriminals en un esquema MaaS (Malware-as-a-Service). Els desenvolupadors de l'amenaça permetran als seus clients utilitzar DawDropper durant un període limitat, depenent de la tarifa pagada i, normalment, es requereix el pagament cada mes. Al seu torn, els ciberdelinqüents han aconseguit colar l'amenaça a la botiga oficial de Google Play sota la disfressa de més d'una dotzena d'aplicacions armades.

Les aplicacions danyades es van repartir en diverses categories populars, com ara netejadors de sistemes, editors de vídeo, editors d'imatges, jocs per a mòbils i molt més. Alguns exemples d'aplicacions que difonen DawDropper inclouen Call Recorder, Crypto Utils, Eagle Photo Editor, FixCleaner, Lucky Cleaner, Rooster VPN, Super Cleaner, Universal Saver Pro, Unicc QR Scanners, etc. Cal tenir en compte que Google ha eliminat totes les aplicacions associades amb DawDropper de la seva botiga, però els usuaris que tinguin una de les aplicacions presents als seus dispositius Android hauran de desinstal·lar-la manualment.

Els atacants darrere de la campanya DawDropper van explotar un servei de núvol legítim de tercers anomenat Firebase Realtime Database per establir el servidor de comandament i control de l'operació. El mateix servei també es va utilitzar per a l'emmagatzematge de dades. Les càrregues útils amenaçadores lliurades mitjançant DawDropper es van allotjar a GitHub.