在暗網上檢查新的 DawDropper Banking Dropper 和 DaaS

今年，惡意行為者通過惡意下載器偷偷地將越來越多的銀行木馬添加到 Google Play 商店，證明這種技術在逃避檢測方面是有效的。此外，由于對分發移動惡意軟件的新方法的需求很高，一些惡意行為者聲稱他們的投放器可以幫助其他網絡犯罪分子在 Google Play 商店上傳播他們的惡意軟件，從而產生了投放器即服務 (DaaS)模型。

在 2021 年下半年，我們發現了一個惡意活動，該活動使用了一種新的 dropper 變體，我們稱之為 DawDropper。DawDropper 在 Just In: Video Motion、Document Scanner Pro、Conquer Darkness、simpli Cleaner 和 Unicc QR Scanner 等多個 Android 應用程序的幌子下，使用第三方云服務 Firebase 實時數據庫來逃避檢測并動態獲取有效載荷下載地址。它還在 GitHub 上托管惡意負載。截至報告時，這些惡意應用程序已不再在 Google Play 商店中提供。

圖 1. DawDropper 以前在 Google Play 商店中可用的惡意應用程序

我們探索了新的 DawDropper dropper 的技術細節，查看了 2022 年初發布的使用惡意 dropper 的銀行木馬的簡史，并在這篇文章中討論了與深網中的 DaaS 相關的網絡犯罪活動。

DawDropper 技術分析

根據我們的觀察，DawDropper 的變體可以釋放四種類型的銀行木馬，包括 Octo、Hydra、Ermac 和 TeaBot。所有 DawDropper 變體都使用 Firebase 實時數據庫（一種用于存儲數據的合法云托管 NoSQL 數據庫）作為其命令和控制 (C&C) 服務器，并在 GitHub 上托管惡意負載。

圖 2. DawDropper 感染鏈

圖 3. 托管 Octo 有效負載的 GitHub 存儲庫

圖 4. 托管 Ermac 有效負載的 GitHub 存儲庫

圖 5. 托管 Hydra 有效負載的 GitHub 存儲庫

Clast82 和 DawDropper 之間的相似之處

有趣的是，我們發現 CheckPoint Research 在 2021 年 3 月報告的另一個名為Clast82的 dropper也使用 Firebase 實時數據庫作為 C&C 服務器。

圖 6. 從 C&C 服務器獲取的數據格式（來源：com.abcd.evpnfree）

DawDropper C&C 服務器返回的數據類似于 Clast82 數據：

圖 7. DawDropper C&C 服務器響應

圖 8. 另一個 DawDropper 變體的 C&C 服務器響應，添加了安裝指標和安裝新更新的提示

Octo 有效載荷

DawDropper 的惡意負載屬于Octo 惡意軟件家族，這是一種模塊化和多階段的惡意軟件，能夠竊取銀行信息、攔截短信和劫持受感染的設備。Octo 也稱為Coper，歷史上一直用于針對哥倫比亞網上銀行用戶。

根據我們的分析，DawDropper 的 Octo 惡意軟件負載與之前報道的變種相似。該包使用編程語言關鍵字來混淆惡意功能。

圖 9. 2022 年 3 月和 6 月部署的同類型 Octo 有效載荷包

一旦 Octo 惡意軟件在受害者的設備中成功啟動并獲得主要權限，它將保持設備喚醒并注冊預定服務以收集敏感數據并將其上傳到其 C&C 服務器。它還使用虛擬網絡計算 (VNC) 來記錄用戶的屏幕，包括銀行憑證、電子郵件地址和密碼以及 PIN 等敏感信息。該惡意軟件還通過關閉設備的背光并關閉設備的聲音來隱藏惡意行為，從而導致用戶的屏幕變黑。

圖 10. Octo 惡意軟件感染鏈

該惡意軟件還可以禁用Google Play Protect（通過設備的應用程序并檢查惡意行為）并收集用戶數據，包括受感染手機的 Android ID、聯系人列表、已安裝的應用程序，甚至是短信。

2022 年初銀行投遞器的簡史

為了更好地理解銀行木馬通過惡意 dropper 傳播的趨勢，我們必須回顧自 2022 年初以來，dropper 是如何在 Google Play Store 上出現的，分析這些 dropper 中的每一個如何相互變化和演變，并學習網絡犯罪分子如何傳播它們。

圖 11. 2022 年上半年通過 Dropper 分發的銀行木馬時間線

銀行滴管之間的主要區別

盡管這些銀行投放程序具有相同的主要目標——在受害者的設備上分發和安裝惡意軟件——但我們觀察到，這些銀行投放程序實施其惡意程序的方式存在顯著差異。例如，今年早些時候推出的銀行投放器具有硬編碼的有效載荷下載地址。同時，近期上線的銀行dropper往往會隱藏payload的實際下載地址，有時會使用第三方服務作為C&C服務器，還會使用GitHub等第三方服務托管惡意payload。

Vultur dropper (SHA-256: 00a733c78f1b4d4f54cf06a0ea8cc33604512d6032ef4ef9114c89c700bfafcf)，又名Brunhilda，于2020年底首次被報道為DaaS。2022年1月，我們觀察到它直接在受感染設備上下載惡意payload，并有自己的方法解密惡意載荷。

圖 12. Vultur dropper 的下載文件

圖 13. Vultur dropper 的惡意載荷解密例程

同樣于 2022 年 1 月發布的 Sharkbot 投放器（SHA-256: 7f55dddcfad05403f71580ec2e5acafdc8c9555e72f724eb1f9e37bf09b8cc0c）具有獨特的行為：它不僅充當投放器，還請求訪問權限并響應所有用戶界面 (UI) 事件受感染的設備。

圖 14. Sharkbot dropper 的請求服務器

圖 15. Sharkbot dropper 從響應中獲取下載 URL

與此同時，2022 年 4 月發布的 TeaBot dropper 使用 GitHub 托管其惡意軟件負載。但是，TeaBot 使用另一個 GitHub 存儲庫來獲取下載地址，而 DawDropper 則使用 Firebase 實時數據庫。

DaaS 暗網活動

在我們對使用 dropper 的銀行木馬的調查中，我們觀察到，2021 年首次報告的其中一個dropper Gymdrop連接到網絡犯罪分子可以用來管理的管理面板（trackerpdfconnect[.]com 和 smartscreencaster[.]online）滴管和有效載荷。我們還發現 Gymdrop 在一個暗網論壇上被宣傳為典型的 DaaS。

圖 16. Hydra dropper 的 Gymdrop 管理面板（來源：m0br3v/Twitter）

圖 17. 2022 年 2 月地下論壇中的 Gymdrop 管理面板登錄頁面

結論和安全建議

網絡犯罪分子不斷尋找逃避檢測和感染盡可能多設備的方法。在半年的時間里，我們已經看到銀行木馬如何改進其技術例程以避免被檢測到，例如將惡意負載隱藏在 dropper 中。隨著越來越多的銀行木馬通過 DaaS 獲得，惡意行為者將有一種更簡單、更經濟高效的方式來分發偽裝成合法應用程序的惡意軟件。我們預計這種趨勢將繼續下去，未來將有更多的銀行木馬在數字分發服務上分發。

為避免成為惡意應用的犧牲品，用戶應采用以下安全最佳做法：

• 始終檢查應用評論，看看用戶是否表達了不尋常的擔憂或負面體驗。
• 在調查應用開發商和發行商時進行盡職調查。避免從看起來可疑的網站下載應用程序。
• 避免安裝來自未知來源的應用程序。

移動用戶可以通過使用趨勢科技移動安全解決方案實時掃描移動設備并按需檢測惡意應用程序或惡意軟件以阻止或刪除它們，從而幫助最大限度地減少這些欺詐性應用程序帶來的威脅 。這些應用程序適用于 Android 和 iOS。