Google Play商店现17款DawDropper银行恶意软件

7月29日，趋势科技发布了一份报告，揭露了在Google Play应用商店内的一系列银行类恶意软件活动。

报告主要分析了17款伪装成生产力工具和实用应用程序的滴管应用程序，它们被统称为DawDropper。根据报告描述，这17款应用包括了文档扫描仪、VPN 服务、二维码阅读器和通话记录器等多种类型，共携带了四个银行木马系列，包括 Octo、Hydra、Ermac和TeaBot。它们都使用第三方云服务 Firebase Realtime Database 来逃避检测并动态获取有效载荷下载地址，并在 GitHub 上托管恶意有效载荷。

2021 年 3 月，趋势科技还发现了另一个名为Clast82的dropper，DawDropper 和 Clast82 都使用 Firebase 实时数据库作为 C&C 服务器。

研究人员指出，这类银行Drop恶意软件采用自己的分发和安装技术。比如在今年年初就观察到了带有硬编码的有效载荷下载地址的版本，而最新观察到版本能隐藏实际有效载荷的下载地址，有时还使用第三方服务作为其 C&C 服务器。

截至报告发布时，这些恶意应用程序已从 Google Play 中移除。但报告指出，网络犯罪分子一直在寻找逃避检测和感染尽可能多设备的方法。在半年的时间里已经看到银行木马如何改进其技术以避免被检测，例如将恶意负载隐藏在 Dropper 中。随着越来越多的银行木马通过 DaaS 提供，攻击者将有一种更简单、更经济高效的方式来分发伪装成合法应用程序的恶意软件。