DawDropper Mobile Malware

DawDropper ist eine Bedrohung, die von Cyberkriminellen in der Anfangsphase einer Malware-Infektion eingesetzt wird. Genauer gesagt handelt es sich bei DawDropper um eine Malware, deren Aufgabe es ist, Nutzlasten der nächsten Stufe auf ein bereits verletztes Gerät zu übertragen. Die Bedrohung zielt auf Android-Geräte ab und es wurde beobachtet, dass sie hauptsächlich Banking-Trojaner wie Ermac 2.0 , Octo , Hydra und TeaBot abruft und ausführt.

Die DawDropper-Bedrohung wird Cyberkriminellen in einem MaaS-Schema (Malware-as-a-Service) zum Verkauf angeboten. Die Entwickler der Bedrohung erlauben ihren Kunden, DawDropper für einen begrenzten Zeitraum zu nutzen, abhängig von der gezahlten Gebühr, und normalerweise ist eine monatliche Zahlung erforderlich. Im Gegenzug ist es den Cyberkriminellen gelungen, die Bedrohung unter dem Deckmantel von über einem Dutzend bewaffneter Anwendungen in den offiziellen Google Play Store zu schleichen.

Die beschädigten Anwendungen wurden in mehrere beliebte Kategorien eingeteilt, darunter Systemreiniger, Video-Editoren, Bild-Editoren, Handyspiele und mehr. Einige Beispiele für Anwendungen, die DawDropper verbreiten, sind Call Recorder, Crypto Utils, Eagle Photo Editor, FixCleaner, Lucky Cleaner, Rooster VPN, Super Cleaner, Universal Saver Pro, Unicc QR Scanners usw. Es sollte beachtet werden, dass Google alle damit verbundenen Anwendungen entfernt hat DawDropper aus seinem Store, aber Benutzer, die eine der Anwendungen auf ihren Android-Geräten haben, müssen sie manuell deinstallieren.

Die Angreifer hinter der DawDropper-Kampagne nutzten einen legitimen Cloud-Dienst eines Drittanbieters namens Firebase Realtime Database aus, um den Command-and-Control-Server der Operation einzurichten. Derselbe Dienst wurde auch für die Datenspeicherung verwendet. Die über DawDropper gelieferten bedrohlichen Payloads wurden auf GitHub gehostet.