Google Play發現17款Android 應用程序正在分發銀行惡意軟件

趨勢科技研究人員在 Google Play 商店中發現了17個 滴管Android 應用程序，統稱為 DawDropper，它們正在分發銀行惡意軟件。

 DawDropper 應用程序偽裝成生產力和實用程序應用程序，例如文檔掃描儀、VPN 服務、二維碼閱讀器和通話記錄器。所有這些有問題的應用程序都已從應用程序市場中刪除。

 “在 2021 年下半年，我們發現了一個惡意活動，該活動使用了一種新的 dropper 變體，我們稱之為 DawDropper。DawDropper 以 Just In: Video Motion、Document Scanner Pro、Conquer Darkness、simpli Cleaner 和 Unicc QR Scanner 等多個 Android 應用為幌子，使用第三方云服務 Firebase Realtime Database 來逃避檢測并動態獲取有效載荷下載地址。” 閱讀趨勢科技發布的報告。“它還在 GitHub 上托管惡意有效載荷。截至報告時，這些惡意應用程序已不再在 Google Play 商店中提供。”

DawDropper 應用被發現投放了四個銀行木馬家族，包括 Octo、Hydra、Ermac和TeaBot。所有惡意軟件都使用 Firebase 實時數據庫（一種用于存儲數據的合法云托管 NoSQL 數據庫）作為命令和控制 (C&C) 服務器，并在 GitHub 上托管惡意負載。

趨勢科技還發現了另一個被追蹤為Clast82的 dropper ，由 CheckPoint Research 于 2021 年 3 月發現。DawDropper 和 Clast82 都使用 Firebase 實時數據庫作為 C&C 服務器。

研究人員指出，銀行滴管采用自己的分發和安裝技術。專家們觀察到今年早些時候推出的銀行投遞器具有硬編碼的有效載荷下載地址。同時，最近推出的銀行投遞器旨在隱藏實際有效載荷的下載地址，有時使用第三方服務作為其 C&C 服務器，并使用 GitHub 等第三方服務托管惡意有效載荷。

以下是在 Play 商店中發現的惡意 DawDropper 應用程序列表：

• 通話記錄器 APK (com.caduta.aisevsk)
• 公雞 VPN (com.vpntool.androidweb)
• Super Cleaner - 超級和智能 (com.j2ca.callrecorder)
• 文檔掃描儀 - PDF Creator (com.codeword.docscann)
• UniversalSaverPro (com.virtualapps.universalsaver)
• 鷹照片編輯器 (com.techmediapro.photoediting)
• 通話記錄器 pro+ (com.chestudio.callrecorder)
• 額外的清潔工 (com.casualplay.leadbro)
• 加密實用程序 (com.utilsmycrypto.mainer)
• FixCleaner (com.cleaner.fixgate)
• JustIn：視頻運動 (com.olivia.openpuremid)
• com.myunique.sequencestore
• com.flowmysequto.yamer
• com.qaz.universalsaver
• 幸運清潔工 (com.luckyg.cleaner)
• SimpliCleaner (com.scando.qukscanner)
• UniccQ掃描儀 (com.qrdscannerratedx)

“網絡犯罪分子一直在尋找逃避檢測和感染盡可能多設備的方法。在半年的時間里，我們已經看到銀行木馬如何改進其技術以避免被檢測到，例如將惡意負載隱藏在 dropper 中。隨著越來越多的銀行木馬通過 DaaS 提供，惡意行為者將有一種更簡單、更經濟高效的方式來分發偽裝成合法應用程序的惡意軟件。我們預計這種趨勢將持續下去，未來更多的銀行木馬將分布在數字分發服務上。”