趨勢(shì)科技研究人員發(fā)現(xiàn)了一個(gè)攻擊活動(dòng),該活動(dòng)利用 google Play 商店中的 17 個(gè)看似無(wú)害的 Android 應(yīng)用程序(統(tǒng)稱(chēng)為DawDropper)來(lái)分發(fā)銀行木馬。
DawDropper應(yīng)用程序偽裝成生產(chǎn)力和實(shí)用工具應(yīng)用程序,例如文檔掃描儀、VPN 服務(wù)、二維碼閱讀器和通話記錄器。
這些惡意App被發(fā)現(xiàn)投放了四個(gè)銀行木馬家族,包括 Octo、Hydra、Ermac和TeaBot。所有惡意軟件都使用 Firebase 實(shí)時(shí)數(shù)據(jù)庫(kù)(一種用于存儲(chǔ)數(shù)據(jù)的合法云托管 NoSQL 數(shù)據(jù)庫(kù))作為 (C&C) 服務(wù)器,并在 GitHub 上托管惡意負(fù)載。
趨勢(shì)科技還發(fā)現(xiàn)了另一個(gè)被追蹤為Clast82的 dropper ,由CheckPoint Research 于 2021 年 3 月發(fā)現(xiàn)。DawDropper 和 Clast82 都使用 Firebase 實(shí)時(shí)數(shù)據(jù)庫(kù)作為 C&C 服務(wù)器。
研究人員觀察到今年早些時(shí)候推出的銀行木馬投遞器具有硬編碼的惡意載荷下載地址。同時(shí),最近推出的銀行dropper旨在隱藏實(shí)際的payload下載地址,有時(shí)使用第三方服務(wù)作為其C&C服務(wù)器,并使用GitHub等第三方服務(wù)托管惡意payload。
以下是在 Play 商店中發(fā)現(xiàn)的惡意 DawDropper 應(yīng)用程序列表:
Call Recorder APK (com.caduta.aisevsk) Rooster VPN (com.vpntool.androidweb) Super Cleaner- hyper & smart (com.j2ca.callrecorder) Document Scanner – PDF Creator (com.codeword.docscann) Universal Saver Pro (com.virtualapps.universalsaver) Eagle photo editor (com.techmediapro.photoediting) Call recorder pro+ (com.chestudio.callrecorder) Extra Cleaner (com.casualplay.leadbro) Crypto Utils (com.utilsmycrypto.mainer) FixCleaner (com.cleaner.fixgate) Just In: Video Motion (com.olivia.openpuremind) com.myunique.sequencestore com.flowmysequto.yamer com.qaz.universalsaver Lucky Cleaner (com.luckyg.cleaner) Simpli Cleaner (com.scando.qukscanner) Unicc QR Scanner (com.qrdscannerratedx)參考鏈接:securityaffairs.co
