Mobilne złośliwe oprogramowanie DawDropper

DawDropper to zagrożenie wykorzystywane przez cyberprzestępców na początkowych etapach infekcji złośliwym oprogramowaniem. Mówiąc dokładniej, DawDropper to złośliwe oprogramowanie, którego zadaniem jest dostarczanie ładunków następnego etapu na już naruszone urządzenie. Zagrożenie atakuje urządzenia z Androidem i zaobserwowano, że głównie pobiera i uruchamia trojany bankowe, w tym Ermac 2.0 , Octo , Hydra i TeaBot .

Zagrożenie DawDropper jest oferowane do sprzedaży cyberprzestępcom w ramach programu MaaS (Malware-as-a-Service). Twórcy zagrożenia pozwolą swoim klientom na korzystanie z DawDroppera przez ograniczony czas, w zależności od uiszczonej opłaty, a zazwyczaj płatność wymagana jest co miesiąc. Z kolei cyberprzestępcom udało się przemycić zagrożenie do oficjalnego sklepu Google Play pod przykrywką kilkunastu uzbrojonych aplikacji.

Uszkodzone aplikacje zostały podzielone na kilka popularnych kategorii, takich jak programy do czyszczenia systemu, edytory wideo, edytory obrazów, gry mobilne i inne. Niektóre przykłady aplikacji rozpowszechniających DawDropper to Call Recorder, Crypto Utils, Eagle Photo Editor, FixCleaner, Lucky Cleaner, Rooster VPN, Super Cleaner, Universal Saver Pro, Unicc QR Scanners itp. Należy zauważyć, że Google usunął wszystkie aplikacje związane z DawDropper ze swojego sklepu, ale użytkownicy, którzy mają jedną z aplikacji obecną na swoich urządzeniach z Androidem, będą musieli ją ręcznie odinstalować.

Osoby atakujące stojące za kampanią DawDropper wykorzystały legalną usługę w chmurze innej firmy o nazwie Baza danych czasu rzeczywistego Firebase w celu ustanowienia serwera dowodzenia i kontroli operacji. Ta sama usługa została również wykorzystana do przechowywania danych. Zagrożone ładunki dostarczane przez DawDropper były hostowane na GitHub.