DawDropper Mobile Malware

O DawDropper é uma ameaça usada por cibercriminosos nos estágios iniciais de uma infecção por malware. Mais especificamente, o DawDropper é um malware encarregado de entregar cargas úteis do próximo estágio em um dispositivo já violado. A ameaça tem como alvo dispositivos Android e foi observada principalmente para buscar e executar Trojans bancários, incluindo Ermac 2.0, Octo, Hydra e TeaBot.

A ameaça DawDropper está sendo oferecida para venda a cibercriminosos em um esquema MaaS (Malware-as-a-Service). Os desenvolvedores da ameaça permitirão que seus clientes utilizem o DawDropper por um período limitado, dependendo da taxa paga e, geralmente, o pagamento é necessário todos os meses. Por sua vez, os cibercriminosos conseguiram infiltrar a ameaça na Google Play Store oficial sob o disfarce de mais de uma dúzia de aplicativos armados.

Os aplicativos corrompidos foram distribuídos em várias categorias populares, como limpadores de sistema, editores de vídeo, editores de imagem, jogos para celular e muito mais. Alguns exemplos de aplicativos que espalham o DawDropper incluem Call Recorder, Crypto Utils, editor de fotos Eagle, FixCleaner, Lucky Cleaner, Rooster VPN, Super Cleaner, Universal Saver Pro, Unicc QR Scanners, etc. Deve-se notar que o Google removeu todos os aplicativos associados a DawDropper de sua loja, mas os usuários que possuem um dos aplicativos presentes em seus dispositivos Android terão que desinstalá-lo manualmente.

Os invasores por trás da campanha DawDropper exploraram um serviço de nuvem de terceiros legítimo chamado Firebase Realtime Database para estabelecer o servidor de comando e controle da operação. O mesmo serviço também foi usado para armazenamento de dados. As cargas ameaçadoras entregues via DawDropper foram hospedadas no GitHub.