Google Play商店現17款DawDropper銀行惡意軟件

7月29日，趨勢科技發布了一份報告，揭露了在Google Play應用商店內的一系列銀行類惡意軟件活動。

報告主要分析了17款偽裝成生產力工具和實用應用程序的滴管應用程序，它們被統稱為DawDropper。根據報告描述，這17款應用包括了文檔掃描儀、VPN 服務、二維碼閱讀器和通話記錄器等多種類型，共攜帶了四個銀行木馬系列，包括 Octo、Hydra、Ermac和TeaBot。它們都使用第三方云服務 Firebase Realtime Database 來逃避檢測并動態獲取有效載荷下載地址，并在 GitHub 上托管惡意有效載荷。

2021 年 3 月，趨勢科技還發現了另一個名為Clast82的dropper，DawDropper 和 Clast82 都使用 Firebase 實時數據庫作為 C&C 服務器。

研究人員指出，這類銀行Drop惡意軟件采用自己的分發和安裝技術。比如在今年年初就觀察到了帶有硬編碼的有效載荷下載地址的版本，而最新觀察到版本能隱藏實際有效載荷的下載地址，有時還使用第三方服務作為其 C&C 服務器。

截至報告發布時，這些惡意應用程序已從 Google Play 中移除。但報告指出，網絡犯罪分子一直在尋找逃避檢測和感染盡可能多設備的方法。在半年的時間里已經看到銀行木馬如何改進其技術以避免被檢測，例如將惡意負載隱藏在 Dropper 中。隨著越來越多的銀行木馬通過 DaaS 提供，攻擊者將有一種更簡單、更經濟高效的方式來分發偽裝成合法應用程序的惡意軟件。