Malware móvil DawDropper

DawDropper es una amenaza utilizada por los ciberdelincuentes en las etapas iniciales de una infección de malware. Más específicamente, DawDropper es un malware encargado de la entrega de cargas útiles de la próxima etapa en un dispositivo ya violado. La amenaza apunta a dispositivos Android y se ha observado que busca y ejecuta principalmente troyanos bancarios, incluidos Ermac 2.0 , Octo , Hydra y TeaBot .

La amenaza DawDropper se ofrece a la venta a los ciberdelincuentes en un esquema MaaS (Malware-as-a-Service). Los desarrolladores de la amenaza permitirán que sus clientes utilicen DawDropper por un período limitado, dependiendo de la tarifa pagada y, por lo general, se requiere el pago todos los meses. A su vez, los ciberdelincuentes han logrado infiltrar la amenaza en la tienda oficial de Google Play bajo la apariencia de más de una docena de aplicaciones armadas.

Las aplicaciones dañadas se distribuyeron en varias categorías populares, como limpiadores de sistemas, editores de video, editores de imágenes, juegos móviles y más. Algunos ejemplos de aplicaciones que difunden DawDropper incluyen Call Recorder, Crypto Utils, Eagle photo editor, FixCleaner, Lucky Cleaner, Rooster VPN, Super Cleaner, Universal Saver Pro, Unicc QR Scanners, etc. Cabe señalar que Google ha eliminado todas las aplicaciones asociadas con DawDropper de su tienda, pero los usuarios que tengan presente una de las aplicaciones en sus dispositivos Android tendrán que desinstalarla manualmente.

Los atacantes detrás de la campaña DawDropper explotaron un servicio en la nube legítimo de un tercero llamado Firebase Realtime Database para establecer el servidor de comando y control de la operación. El mismo servicio también se utilizó para el almacenamiento de datos. Las cargas útiles amenazantes entregadas a través de DawDropper se alojaron en GitHub.