Une campagne malveillante a exploité des applications de compte-gouttes Android apparemment inoffensives dans le Google Play Store pour compromettre les appareils des utilisateurs avec des logiciels bancaires.
Ces 17 applications dropper, appelées collectivement DawDropper par Trend Micro, se faisant passer pour des applications de productivité et utilitaires telles que des scanners de documents, des lecteurs de code QR, des services VPN et des enregistreurs d’appels. Toutes ces applications pertinentes ont été supprimées du marché des applications.
“DawDropper utilise Firebase Realtime Database, un service cloud tiers, pour éviter la détection et obtenir dynamiquement une adresse de téléchargement de charge utile”, ont déclaré les chercheurs. “Il héberge également des charges utiles malveillantes sur GitHub.”
Les droppers sont des applications conçues pour contourner les contrôles de sécurité du Play Store de Google, après quoi ils sont utilisés pour télécharger des logiciels malveillants plus puissants et intrusifs sur un appareil, dans ce cas Octo (Coper), Hydra, Ermac et TeaBot.
Les chaînes d’attaque impliquaient que le logiciel malveillant DawDropper se connecte à une base de données Firebase Realtime pour recevoir l’URL GitHub nécessaire au téléchargement du fichier APK malveillant.
La liste des applications malveillantes qui étaient auparavant disponibles sur l’App Store est ci-dessous –
- Enregistreur d’appel APK (com.caduta.aisevsk)
- VPN Coq (com.vpntool.androidweb)
- Super Cleaner – hyper et intelligent (com.j2ca.callrecorder)
- Scanner de documents – Créateur de PDF (com.codeword.docscann)
- Universal Saver Pro (com.virtualapps.universalsaver)
- Eagle Photo Editor (com.techmediapro.photoediting)
- Enregistreur d’appel pro+ (com.chestudio.callrecorder)
- Nettoyant supplémentaire (com.casualplay.leadbro)
- Utilitaires de chiffrement (com.utilsmycrypto.mainer)
- FixCleaner (com.cleaner.fixgate)
- À l’instant : Video Motion (com.olivia.openpuremind)
- com.myunique.sequencestore
- com.flowmysequto.yamer
- com.qaz.universalsaver
- Lucky Cleaner (com.luckyg.cleaner)
- Nettoyeur Simpli (com.scando.qukscanner)
- Scanner QR Unicc (com.qrdscannerratedx)
Parmi les compte-gouttes se trouve une application appelée “Unicc QR Scanner” qui a été précédemment signalée par Zscaler ce mois-ci pour avoir distribué le cheval de Troie bancaire Coper, une variante du malware mobile Exobot.
Octo est également connu pour désactiver Google Play Protect et utiliser l’informatique de réseau virtuel (VNC) pour enregistrer l’écran d’un appareil victime, y compris des informations sensibles telles que les informations d’identification bancaires, les adresses e-mail et les mots de passe, et les codes PIN, qui sont ensuite exfiltrés vers un serveur distant.
Les tireurs de banque, quant à eux, ont évolué depuis le début de l’année, passant du codage en dur des adresses de téléchargement de charge utile à l’utilisation d’un intermédiaire pour masquer l’adresse qui héberge le logiciel malveillant.
“Les cybercriminels trouvent constamment des moyens d’éviter d’être détectés et d’infecter autant d’appareils que possible”, ont déclaré les chercheurs.
“En outre, étant donné que de nouvelles façons de distribuer des logiciels malveillants mobiles sont en forte demande, plusieurs acteurs malveillants affirment que leurs droppers peuvent aider d’autres cybercriminels à diffuser des logiciels malveillants sur le Google Play Store, ce qui se traduit par un modèle dropper-as-a-service (DaaS). “
