我们会在本文介绍一种名为DawDropper的银行木马滴管，并详细说明了其与深层网络中的DaaS相关的网络犯罪活动。

今年，攻击者通过恶意下载程序偷偷地将越来越多的银行木马添加到GooglePlay商店，这证明这种技术可以有效地逃避检测。此外，由于对传播移动恶意软件的新方法有很高的需求，一些攻击者声称他们的滴管可以帮助其他网络犯罪分子在GooglePlay商店上传播他们的恶意软件，从而产生了滴管即服务(DaaS)模型。

早在2021年下半年，就有研究人员发现了一个恶意活动，该活动使用了一种新的dropper变体，我们称之为DawDropper。DawDropper以JustIn:VideoMotion、DocumentScannerPro、ConquerDarkness、simpliCleaner和UniccQRScanner等多个Android应用为幌子，使用第三方云服务FirebaseRealtimeDatabase来逃避检测并动态获取有效载荷下载地址。它还在GitHub上托管恶意负载。截至报告时，这些恶意应用程序已不再在GooglePlay商店中提供。

DawDropper以前在GooglePlay商店中可用的恶意应用程序

我们观察到新的DawDropperdropper的技术细节，查看了2022年初发布的使用恶意滴管银行木马的简史，并在这篇文章中讨论了与暗网中的DaaS相关的网络犯罪活动。

根据我们的观察，DawDropper的变体可以释放四种类型的银行木马，包括Octo、Hydra、Ermac和TeaBot。所有DawDropper变体都使用Firebase实时数据库（一种用于存储数据的合法云托管NoSQL数据库）作为其命令和控制(C&C)服务器，并在GitHub上托管恶意负载。

DawDropper感染链

托管Octo有效负载的GitHub存储库

托管Ermac有效负载的GitHub存储库

托管Hydra有效负载的GitHub存储库

有趣的是，我们发现CheckPointResearch在2021年3月报告的另一个名为Clast82的dropper也使用Firebase实时数据库作为C&C服务器。

从C&C服务器获取的数据格式

DawDropperC&C服务器返回的数据类似于Clast82数据：

DawDropperC&C服务器响应

另一个DawDropper变体的C&C服务器响应，添加了安装指标和安装新更新的提示

DawDropper的恶意负载属于Octo恶意软件家族，这是一种模块化和多阶段的恶意软件，能够窃取银行信息、拦截短信和劫持受感染的设备。Octo也称为Coper，历史上一直用于针对哥伦比亚的网上银行用户。

根据我们的分析，DawDropper的Octo恶意软件负载与之前报道的变体相似。该数据包使用编程语言关键字来混淆恶意功能。

2022年3月和6月部署的同类型Octo有效载荷包

一旦Octo恶意软件在受害者的设备中成功启动并获得主要权限，它将保持设备唤醒并注册预定服务以收集敏感数据并将其上传到其C&C服务器。它还使用虚拟网络计算(VNC)来记录用户的屏幕，包括银行凭证、电子邮件地址和密码以及PIN等敏感信息。该恶意软件还通过关闭设备的背光并关闭设备的声音来隐藏攻击，从而导致用户的屏幕变黑。

Octo恶意软件感染链

该恶意软件还可以禁用GooglePlayProtect（通过设备的应用程序并检查攻击）并收集用户数据，包括受感染手机的AndroidID、联系人列表、已安装的应用程序，甚至是短信。

为了更好地理解银行木马通过恶意dropper传播的趋势，我们必须回顾自2022年初以来，滴管是如何在GooglePlayStore上出现的，分析这些滴管如何彼此不同和演变，并了解网络犯罪分子是如何传播他们。

2022年上半年通过滴管传播的银行木马时间线

尽管这些银行滴管的主要目标是相同的，即在受害者的设备上传播和安装恶意软件。但我们已经观察到，这些银行滴管在实现恶意程序的方式上存在显著差异。例如，今年早些时候出现的银行滴管具有硬编码的有效载荷下载地址。同时，近期上线的银行滴管往往会隐藏负载的实际下载地址，有时会使用第三方服务作为C&C服务器，还会使用GitHub等第三方服务托管恶意负载。

Vulturdropper(SHA-256:00a733c78f1b4d4f54cf06a0ea8cc33604512d6032ef4ef9114c89c700bfafcf)，又名Brunhilda，于2020年底首次被报道为DaaS。2022年1月，我们观察到它直接在受感染设备上下载恶意负载，并有自己的方法解密恶意载荷。

Vulturdropper的下载文件

Vulturdropper的恶意负载解密进程

同样于2022年1月发布的Sharkbot滴管（SHA-256:7f55dddcfad05403f71580ec2e5acafdc8c9555e72f724eb1f9e37bf09b8cc0c）具有独特的行为：它不仅充当滴管，还请求访问权限并响应所有用户界面(UI)事件受感染的设备。

Sharkbotdropper的请求服务器

Sharkbotdropper从响应中获取下载URL

与此同时，2022年4月发布的TeaBotdropper使用GitHub托管其恶意软件负载。但是，TeaBot使用另一个GitHub存储库来获取下载地址，而DawDropper则使用Firebase实时数据库。

在对使用滴管的银行木马的调查中，我们观察到，2021年首次报告的其中一个滴管是Gymdrop，它连接到网络一个攻击者可以用来管理的管理面板（trackerpdfconnect[.]com和smartscreencaster[.]online）滴管和有效载荷。我们还发现Gymdrop在一个暗网论坛上被宣传为典型的DaaS。

Hydradropper的Gymdrop管理面板

2022年2月地下论坛中的Gymdrop管理面板登录页面

攻击者不断寻找逃避检测和感染尽可能多设备的方法。在半年的时间里，我们已经看到银行木马如何改进其技术进程以避免被检测到，例如将恶意负载隐藏在滴管中。随着越来越多的银行木马通过DaaS获得，攻击者将有一种更简单、更经济高效的方式来传播伪装成合法应用程序的恶意软件。我们预计这种趋势将继续下去。用户应采用以下安全安全措施：

始终检查应用评论，看看用户是否表达了不寻常的担忧或负面体验。

在调查应用开发商和发行商时进行尽职调查，避免从看起来可疑的网站下载应用程序。

避免安装来历不明的应用程序。

移动用户可以通过使用移动安全解决方案实时扫描移动设备并按需检测恶意应用程序或恶意软件以阻止或删除它们，从而帮助最大限度地缓解这些欺诈性应用程序带来的威胁。这些应用程序适用于Android和iOS。

参考及来源：https://www.trendmicro.com/en_us/research/22/g/examining-new-dawdropper-banking-dropper-and-daas-on-the-dark-we.html