Phần mềm độc hại di động DawDropper

DawDropper là một mối đe dọa được sử dụng bởi tội phạm mạng trong giai đoạn đầu của quá trình lây nhiễm phần mềm độc hại. Cụ thể hơn, DawDropper là một phần mềm độc hại có nhiệm vụ phân phối các tải trọng ở giai đoạn tiếp theo lên một thiết bị đã bị xâm phạm. Mối đe dọa nhắm vào các thiết bị Android và đã được quan sát thấy hầu hết tìm nạp và thực thi các Trojan ngân hàng bao gồm Ermac 2.0 , Octo , Hydra và TeaBot .

Mối đe dọa DawDropper đang được rao bán cho tội phạm mạng trong một kế hoạch MaaS (Malware-as-a-Service). Các nhà phát triển của mối đe dọa sẽ cho phép khách hàng của họ sử dụng DawDropper trong một khoảng thời gian giới hạn, tùy thuộc vào khoản phí đã trả và thông thường, thanh toán được yêu cầu hàng tháng. Đổi lại, tội phạm mạng đã tìm cách đưa mối đe dọa vào Cửa hàng Google Play chính thức dưới vỏ bọc của hơn một chục ứng dụng được vũ khí hóa.

Các ứng dụng bị lỗi được chia thành nhiều loại phổ biến, chẳng hạn như trình dọn dẹp hệ thống, trình chỉnh sửa video, trình chỉnh sửa hình ảnh, trò chơi di động và hơn thế nữa. Một số ví dụ về các ứng dụng lây lan DawDropper bao gồm Call Recorder, Crypto Utils, Eagle photo editor, FixCleaner, Lucky Cleaner, Dậu VPN, Super Cleaner, Universal Saver Pro, Unicc QR Scanners, v.v. Cần lưu ý rằng Google đã xóa tất cả các ứng dụng liên kết với DawDropper từ cửa hàng của nó, nhưng người dùng có một trong các ứng dụng hiện diện trên thiết bị Android của họ sẽ phải gỡ cài đặt thủ công.

Những kẻ tấn công đằng sau chiến dịch DawDropper đã khai thác một dịch vụ đám mây hợp pháp của bên thứ ba có tên là Cơ sở dữ liệu thời gian thực của Firebase để thiết lập máy chủ Command-and-Control của hoạt động. Dịch vụ tương tự cũng được sử dụng để lưu trữ dữ liệu. Các tải trọng đe dọa được phân phối qua DawDropper được lưu trữ trên GitHub.