Kampanye jahat memanfaatkan aplikasi penetes Android yang tampaknya tidak berbahaya di Google Play Store untuk menyusupi perangkat pengguna dengan malware perbankan.
17 aplikasi penetes ini, secara kolektif dijuluki dawdropper oleh Trend Micro, disamarkan sebagai aplikasi produktivitas dan utilitas seperti pemindai dokumen, pembaca kode QR, layanan VPN, dan perekam panggilan, antara lain. Semua aplikasi yang dipermasalahkan ini telah dihapus dari pasar aplikasi.
“DawDropper menggunakan Firebase Realtime Database, layanan cloud pihak ketiga, untuk menghindari deteksi dan secara dinamis mendapatkan alamat unduhan payload,” kata para peneliti. “Itu juga menampung muatan berbahaya di GitHub.”
Droppers adalah aplikasi yang dirancang untuk menyelinap melewati pemeriksaan keamanan Google Play Store, setelah itu mereka digunakan untuk mengunduh malware yang lebih kuat dan mengganggu pada perangkat, dalam hal ini, Octo (Coper), Hydra, Ermac, dan TeaBot.
Rantai serangan melibatkan malware DawDropper yang membangun koneksi dengan Firebase Realtime Database untuk menerima URL GitHub yang diperlukan untuk mengunduh file APK berbahaya.
Daftar aplikasi berbahaya yang sebelumnya tersedia dari app store ada di bawah –
- APK Perekam Panggilan (com.caduta.aisevsk)
- Rooster VPN (com.vpntool.androidweb)
- Super Cleaner- hyper & smart (com.j2ca.callrecorder)
- Pemindai Dokumen – Pembuat PDF (com.codeword.docscann)
- Universal Saver Pro (com.virtualapps.universalsaver)
- Editor foto elang (com.techmediapro.photoediting)
- Perekam panggilan pro+ (com.chestudio.callrecorder)
- Pembersih Ekstra (com.casualplay.leadbro)
- Crypto Utils (com.utilsmycrypto.mainer)
- FixCleaner (com.cleaner.fixgate)
- Just In: Video Motion (com.olivia.openpuremind)
- com.myunique.sequencestore
- com.flowmysequto.yamer
- com.qaz.universalsaver
- Pembersih Beruntung (com.luckyg.cleaner)
- Pembersih Sederhana (com.scando.qukscanner)
- Pemindai QR Unicc (com.qrdscannerratedx)
Termasuk di antara dropper adalah aplikasi bernama “Unicc QR Scanner” yang sebelumnya ditandai oleh Zscaler awal bulan ini sebagai mendistribusikan trojan perbankan Coper, varian dari malware seluler Exobot.
Octo juga diketahui menonaktifkan Google Play Protect dan menggunakan komputasi jaringan virtual (VNC) untuk merekam layar perangkat korban, termasuk informasi sensitif seperti kredensial perbankan, alamat email dan kata sandi, dan PIN, yang semuanya kemudian dieksfiltrasi ke server jarak jauh. .
Dropper perbankan, pada bagian mereka, telah berevolusi sejak awal tahun, beralih dari alamat unduhan muatan kode keras ke menggunakan perantara untuk menyembunyikan alamat yang menampung malware.
“Penjahat dunia maya terus-menerus menemukan cara untuk menghindari deteksi dan menginfeksi sebanyak mungkin perangkat,” kata para peneliti.
“Selain itu, karena ada permintaan tinggi akan cara baru untuk mendistribusikan malware seluler, beberapa pelaku jahat mengklaim bahwa dropper mereka dapat membantu penjahat dunia maya lainnya menyebarkan malware mereka di Google Play Store, menghasilkan model dropper-as-a-service (DaaS) .”