Con información de Trend Micro.
Un malware bancario sin detección dentro de la tienda de aplicaciones de Google Play Store roba información confidencial sin ser detectado.
Según una investigación por la empresa de ciberseguridad Trend Micro, ha publicado los detalles técnicos de un nuevo malware bancario que han denominado DawDropper.
Los actores maliciosos han estado agregando de forma oculta un número creciente de troyanos bancarios a Google Play Store a través de droppers maliciosos este año, lo que demuestra que dicha técnica es efectiva para evadir la detección.
Además, debido a que existe una gran demanda de formas novedosas de distribuir malware móvil, varios actores maliciosos afirman que sus droppers podrían ayudar a otros ciberdelincuentes a difundir su malware en Google Play Store, lo que resulta en un modelo de dropper como servicio (DaaS).
En la última parte de 2021, la empresa de ciberseguridad encontró una campaña maliciosa que utiliza una nueva variante del dropper que denominaron DawDropper.
Bajo la apariencia de varias aplicaciones de Android como Just In: Video Motion, Document Scanner Pro, Conquer Darkness, simpli Cleaner y Unicc QR Scanner, DawDropper utiliza Firebase Realtime Database, un servicio en la nube de terceros, para evadir la detección y obtener dinámicamente una dirección de descarga de carga útil.
También aloja cargas maliciosas en GitHub. A partir de informes, estas aplicaciones maliciosas ya no están disponibles en Google Play Store.
Análisis técnico de DawDropper
Según dicha observación, DawDropper tiene variantes que eliminan cuatro tipos de troyanos bancarios, incluidos Octo, Hydra, Ermac y TeaBot. Todas las variantes de DawDropper utilizan Firebase Realtime Database, una base de datos NoSQL legítima alojada en la nube para almacenar datos, como su servidor de comando y control (C&C) y alojar cargas maliciosas en GitHub.
La carga útil de Octo
La carga maliciosa de DawDropper pertenece a la familia de malware Octo, que es un malware modular y de múltiples etapas que es capaz de robar información bancaria, interceptar mensajes de texto y secuestrar dispositivos infectados.
Octo también se conoce como Coper, y se ha utilizado históricamente para dirigirse a los usuarios de banca en línea colombianos.
Según nuestro análisis, la carga útil del malware Octo de DawDropper es similar a las variantes informadas anteriormente. El paquete utiliza palabras clave del lenguaje de programación para ofuscar funcionalidades maliciosas.
Una vez que el malware Octo se inicia con éxito en el dispositivo de la víctima y obtiene los permisos principales, mantendrá el dispositivo despierto y registrará un servicio programado para recopilar y cargar datos confidenciales en su servidor C&C.
También utiliza la computación de red virtual (VNC) para grabar la pantalla de un usuario, incluida información confidencial como credenciales bancarias, direcciones de correo electrónico y contraseñas, y PIN.
El malware bancario indetectable en la Play Store, también hace que la pantalla de un usuario se vuelva negra al apagar la luz de fondo del dispositivo y apagar el sonido del dispositivo para ocultar el comportamiento malicioso.
