標題：在暗網上檢查新的DawDropper銀行木馬滴管和DaaS

我們會在本文介紹一種名為DawDropper的銀行木馬滴管，並詳細說明了其與深層網絡中的DaaS相關的網絡犯罪活動。

今年，攻擊者通過惡意下載程序偷偷地將越來越多的銀行木馬添加到GooglePlay商店，這證明這種技術可以有效地逃避檢測。此外，由於對傳播移動惡意軟件的新方法有很高的需求，一些攻擊者聲稱他們的滴管可以幫助其他網絡犯罪分子在GooglePlay商店上傳播他們的惡意軟件，從而產生了滴管即服務(DaaS)模型。

早在2021年下半年，就有研究人員發現了一個惡意活動，該活動使用了一種新的dropper變體，我們稱之為DawDropper。 DawDropper以JustIn:VideoMotion、DocumentScannerPro、ConquerDarkness、simpliCleaner和UniccQRScanner等多個Android應用為幌子，使用第三方雲服務FirebaseRealtimeDatabase來逃避檢測並動態獲取有效載荷下載地址。它還在GitHub上託管惡意負載。截至報告時，這些惡意應用程序已不再在GooglePlay商店中提供。

DawDropper以前在GooglePlay商店中可用的惡意應用程序

我們觀察到新的DawDropperdropper的技術細節，查看了2022年初發布的使用惡意滴管銀行木馬的簡史，並在這篇文章中討論了與暗網中的DaaS相關的網絡犯罪活動。

DawDropper技術分析根據我們的觀察，DawDropper的變體可以釋放四種類型的銀行木馬，包括Octo、Hydra、Ermac和TeaBot。所有DawDropper變體都使用Firebase實時數據庫（一種用於存儲數據的合法雲託管NoSQL數據庫）作為其命令和控制(CC)服務器，並在GitHub上託管惡意負載。

DawDropper感染鏈

託管Octo有效負載的GitHub存儲庫

託管Ermac有效負載的GitHub存儲庫

託管Hydra有效負載的GitHub存儲庫

Clast82和DawDropper之間的相似之處有趣的是，我們發現CheckPointResearch在2021年3月報告的另一個名為Clast82的dropper也使用Firebase實時數據庫作為CC服務器。

從CC服務器獲取的數據格式

DawDropperCC服務器返回的數據類似於Clast82數據：

DawDropperCC服務器響應

另一個DawDropper變體的CC服務器響應，添加了安裝指標和安裝新更新的提示

Octo有效載荷DawDropper的惡意負載屬於Octo惡意軟件家族，這是一種模塊化和多階段的惡意軟件，能夠竊取銀行信息、攔截短信和劫持受感染的設備。 Octo也稱為Coper，歷史上一直用於針對哥倫比亞的網上銀行用戶。

根據我們的分析，DawDropper的Octo惡意軟件負載與之前報導的變體相似。該數據包使用編程語言關鍵字來混淆惡意功能。

2022年3月和6月部署的同類型Octo有效載荷包

一旦Octo惡意軟件在受害者的設備中成功啟動並獲得主要權限，它將保持設備喚醒並註冊預定服務以收集敏感數據並將其上傳到其CC服務器。它還使用虛擬網絡計算(VNC)來記錄用戶的屏幕，包括銀行憑證、電子郵件地址和密碼以及PIN等敏感信息。該惡意軟件還通過關閉設備的背光並關閉設備的聲音來隱藏攻擊，從而導致用戶的屏幕變黑。

Octo惡意軟件感染鏈

該惡意軟件還可以禁用GooglePlayProtect（通過設備的應用程序並檢查攻擊）並收集用戶數據，包括受感染手機的AndroidID、聯繫人列表、已安裝的應用程序，甚至是短信。

2022年初的迭代史為了更好地理解銀行木馬通過惡意dropper傳播的趨勢，我們必須回顧自2022年初以來，滴管是如何在GooglePlayStore上出現的，分析這些滴管如何彼此不同和演變，並了解網絡犯罪分子是如何傳播他們。

2022年上半年通過滴管傳播的銀行木馬時間線

銀行滴管之間的主要區別儘管這些銀行滴管的主要目標是相同的，即在受害者的設備上傳播和安裝惡意軟件。但我們已經觀察到，這些銀行滴管在實現惡意程序的方式上存在顯著差異。例如，今年早些時候出現的銀行滴管具有硬編碼的有效載荷下載地址。同時，近期上線的銀行滴管往往會隱藏負載的實際下載地址，有時會使用第三方服務作為CC服務器，還會使用GitHub等第三方服務託管惡意負載。

Vulturdropper(SHA-256:00a733c78f1b4d4f54cf06a0ea8cc33604512d6032ef4ef9114c89c700bfafcf)，又名Brunhilda，於2020年底首次被報導為DaaS。 2022年1月，我們觀察到它直接在受感染設備上下載惡意負載，並有自己的方法解密惡意載荷。

Vulturdropper的下載文件

Vulturdropper的惡意負載解密進程

同樣於2022年1月發布的Sharkbot滴管（SHA-256:7f55dddcfad05403f71580ec2e5acafdc8c9555e72f724eb1f9e37bf09b8cc0c）具有獨特的行為：它不僅充當滴管，還請求訪問權限並響應所有用戶界面(UI)事件受感染的設備。

Sharkbotdropper的請求服務器

Sharkbotdropper從響應中獲取下載URL

與此同時，2022年4月發布的TeaBotdropper使用GitHub託管其惡意軟件負載。但是，TeaBot使用另一個GitHub存儲庫來獲取下載地址，而DawDropper則使用Firebase實時數據庫。

DaaS暗網活動在對使用滴管的銀行木馬的調查中，我們觀察到，2021年首次報告的其中一個滴管是Gymdrop，它連接到網絡一個攻擊者可以用來管理的管理面板（trackerpdfconnect[.]com和smartscreencaster[.]online）滴管和有效載荷。我們還發現Gymdrop在一個暗網論壇上被宣傳為典型的DaaS。

Hydradropper的Gymdrop管理面板

2022年2月地下論壇中的Gymdrop管理面板登錄頁面

安全建議攻擊者不斷尋找逃避檢測和感染盡可能多設備的方法。在半年的時間裡，我們已經看到銀行木馬如何改進其技術進程以避免被檢測到，例如將惡意負載隱藏在滴管中。隨著越來越多的銀行木馬通過DaaS獲得，攻擊者將有一種更簡單、更經濟高效的方式來傳播偽裝成合法應用程序的惡意軟件。我們預計這種趨勢將繼續下去。用戶應採用以下安全安全措施：

始終檢查應用評論，看看用戶是否表達了不尋常的擔憂或負面體驗。

在調查應用開發商和發行商時進行盡職調查，避免從看起來可疑的網站下載應用程序。

避免安裝來歷不明的應用程序。

移動用戶可以通過使用移動安全解決方案實時掃描移動設備並按需檢測惡意應用程序或惡意軟件以阻止或刪除它們，從而幫助最大限度地緩解這些欺詐性應用程序帶來的威脅。這些應用程序適用於Android和iOS。