DawDropper Mobile Malware

DawDropper è una minaccia utilizzata dai criminali informatici nelle fasi iniziali di un'infezione da malware. Più specificamente, DawDropper è un malware incaricato di consegnare i payload della fase successiva su un dispositivo già violato. La minaccia prende di mira i dispositivi Android ed è stata osservata principalmente per recuperare ed eseguire Trojan bancari tra cui Ermac 2.0 , Octo , Hydra e TeaBot .

La minaccia DawDropper viene offerta in vendita ai criminali informatici in uno schema MaaS (Malware-as-a-Service). Gli sviluppatori della minaccia consentiranno ai loro clienti di utilizzare DawDropper per un periodo limitato, a seconda della tariffa pagata, e di solito il pagamento è richiesto ogni mese. A loro volta, i criminali informatici sono riusciti a intrufolare la minaccia sul Google Play Store ufficiale con il pretesto di oltre una dozzina di applicazioni armate.

Le applicazioni danneggiate sono state distribuite in diverse categorie popolari, come pulitori di sistema, editor video, editor di immagini, giochi per dispositivi mobili e altro ancora. Alcuni esempi di applicazioni che diffondono DawDropper includono Call Recorder, Crypto Utils, Eagle photo editor, FixCleaner, Lucky Cleaner, Rooster VPN, Super Cleaner, Universal Saver Pro, Unicc QR Scanners, ecc. Va notato che Google ha rimosso tutte le applicazioni associate a DawDropper dal suo store, ma gli utenti che hanno una delle applicazioni presenti sui propri dispositivi Android dovranno disinstallarla manualmente.

Gli aggressori dietro la campagna DawDropper hanno sfruttato un legittimo servizio cloud di terze parti chiamato Firebase Realtime Database per stabilire il server Command-and-Control dell'operazione. Lo stesso servizio è stato utilizzato anche per l'archiviazione dei dati. I minacciosi payload forniti tramite DawDropper sono stati ospitati su GitHub.