DawDropper mobiele malware

DawDropper is een bedreiging die door cybercriminelen wordt gebruikt in de beginfase van een malware-infectie. Meer specifiek is DawDropper een malware die belast is met het afleveren van next-stage payloads op een reeds geschonden apparaat. De dreiging is gericht op Android-apparaten en er is waargenomen dat deze voornamelijk banktrojans ophaalt en uitvoert, waaronder Ermac 2.0 , Octo , Hydra en TeaBot .

De DawDropper-dreiging wordt te koop aangeboden aan cybercriminelen in een MaaS-schema (Malware-as-a-Service). De ontwikkelaars van de dreiging zullen hun klanten toestaan om DawDropper voor een beperkte periode te gebruiken, afhankelijk van de betaalde vergoeding, en meestal is betaling elke maand vereist. Op hun beurt zijn de cybercriminelen erin geslaagd om de dreiging naar de officiële Google Play Store te sluipen onder het mom van meer dan een dozijn bewapende applicaties.

De corrupte applicaties werden verspreid over verschillende populaire categorieën, zoals systeemreinigers, video-editors, beeld-editors, mobiele games en meer. Enkele voorbeelden van toepassingen die DawDropper verspreiden, zijn onder meer Call Recorder, Crypto Utils, Eagle-foto-editor, FixCleaner, Lucky Cleaner, Rooster VPN, Super Cleaner, Universal Saver Pro, Unicc QR-scanners, enz. Opgemerkt moet worden dat Google alle toepassingen heeft verwijderd die verband houden met DawDropper uit de winkel, maar gebruikers die een van de applicaties op hun Android-apparaten hebben, moeten deze handmatig verwijderen.

De aanvallers achter de DawDropper-campagne maakten misbruik van een legitieme externe cloudservice genaamd Firebase Realtime Database om de Command-and-Control-server van de operatie op te zetten. Dezelfde dienst werd ook gebruikt voor gegevensopslag. De dreigende payloads geleverd via DawDropper werden gehost op GitHub.