DawDropper IOCs

В этом году злоумышленники тайно добавляют все больше банковских троянов в Google Play Store с помощью вредоносных дропперов, доказывая, что такая техника эффективно ускользает от обнаружения. Кроме того, поскольку существует высокий спрос на новые способы распространения мобильных вредоносных программ, некоторые злоумышленники утверждают, что их дропперы могут помочь другим киберпреступникам распространять свои вредоносные программы в Google Play Store, что приводит к модели "дропперы как услуга" (DaaS).

Во второй половине 2021 года компания Trend Micro обнаружила вредоносную кампанию, использующую новый вариант дроппера, который они окрестили DawDropper. Под видом нескольких приложений для Android, таких как Just In: Video Motion, Document Scanner Pro, Conquer Darkness, simpli Cleaner и Unicc QR Scanner, DawDropper использует Firebase Realtime Database, сторонний облачный сервис, чтобы обойти обнаружение и динамически получить адрес загрузки полезной нагрузки. Он также размещает вредоносные полезные нагрузки на GitHub. На момент составления отчета эти вредоносные приложения уже недоступны в Google Play Store.
По нашим наблюдениям, DawDropper имеет варианты, которые распространяют четыре типа банковских троянов, включая Octo, Hydra, Ermac и TeaBot. Все варианты DawDropper используют Firebase Realtime Database, легитимную облачную NoSQL-базу данных для хранения данных, в качестве сервера управления (C&C или C2) и размещают вредоносную полезную нагрузку на GitHub.

Indicators of Compromise

IPv4

• 185.215.113.31
• 193.106.191.121

IPv4 Port Combinations

• 185.215.113.31:83
• 193.106.191.121:3435

Domains

• asqwnbvb.shop
• call-recorder-66f03-default-rtdb.firebaseio.com
• call-recorder-ad77f-default-rtdb.firebaseio.com
• call-recorder-pro-371bc-default-rtdb.firebaseio.com
• ccnbvb.pics
• cleaner-f40c4-default-rtdb.firebaseio.com
• coin-flow-a179b-default-rtdb.firebaseio.com
• com.alley.work
• com.tunnel.voyage
• crypto-sequence-default-rtdb.firebaseio.com
• crypto-utils-l-default-rtdb.firebaseio.com
• doc-scanner-cff1d-default-rtdb.firebaseio.com
• eaglephotoeditor-2d4e5-default-rtdb.firebaseio.com
• eenbvb.sbs
• fixcleaner-60e32-default-rtdb.firebaseio.com
• incrypted-app-default-rtdb.firebaseio.com
• loader-acb47-default-rtdb.firebaseio.com
• lucky-cleaner-default-rtdb.firebaseio.com
• nbvb.one
• nbvb3954.fun
• nbvbbn.lol
• nbvber.makeup
• nbvbsd.mom
• nbvbwe.monster
• nbvvvb.hair
• olopokogulya.site
• qqnbvb.space
• Qrscanner-f6d8d-default-rtdb.firebaseio.com
• qwnbvb.skin
• rooster-945d8-default-rtdb.firebaseio.com
• saver-9a43a-default-rtdb.firebaseio.com
• universalsaverpro-default-rtdb.firebaseio.com
• vbnbvb.online
• vntososupplsos.live
• wwerenbvb.store
• xxnbvb.quest

URLs

• https://github.com/asFirstYouSaid/test/raw/main/110.apk
• https://github.com/asFirstYouSaid/test/raw/main/SecureChat%20(1).apk
• https://github.com/briangreen7667/2705/raw/main/addon2.apk
• https://github.com/butcher65/test/raw/main/gala.apk
• https://github.com/butcher65/test/raw/main/golgofan.apk
• https://github.com/butcher65/test/raw/main/latte.apk
• https://github.com/butcher65/test/raw/main/lolipop.apk
• https://github.com/gohhas/gate/raw/main/live.apk
• https://github.com/kazakovadana44/1.apk
• https://github.com/lotterevich/lott/raw/main/maina.apk
• https://github.com/sherrytho/test/raw/main/golgol.apk
• https://github.com/uliaknazeva888/qs/raw/main/1.apk
• https://raw.githubusercontent.com/asFirstYouSaid/awdaw/main/Xnode_new.apk
• https://raw.githubusercontent.com/asFirstYouSaid/test/main/GoogleMaps%20(2)_obf.apk
• https://raw.githubusercontent.com/k6062019/qq/main/clown.apk
• https://raw.githubusercontent.com/k6062019/qq/main/porc.apk

SHA256

• 00a733c78f1b4d4f54cf06a0ea8cc33604512d6032ef4ef9114c89c700bfafcf
• 022a01566d6033f6d90ab182c4e69f80a3851565aaaa386c8fa1a9435cb55c91
• 02499a198a8be5e203b7929287115cc84d286fc6afdb1bc84f902e433a7961e4
• 05b3e4071f62763b3925fca9db383aeaad6183c690eecbbf532b080dfa6a5a08
• 0ebcf3bce940daf4017c85700ffc72f6b3277caf7f144a69fbfd437d1343b4ab
• 2113451a983916b8c7918c880191f7d264f242b815b044a6351c527f8aeac3c8
• 3194e25f89540e98698bcd221c8a5dbfe4658ac14fd7e7cf7c29299f3675fcdd
• 3834eb0ff1a955dab719f2ae6a51114995a7e3bd0ea201fb4f044218fe72ba4e
• 5ee98b1051ccd0fa937f681889e52c59f33372ffa27afff024bb76d9b0446b8a
• 71927786fc16e90fe05e1eb032c3591d878c7cfd197d02113d7d006e2d7b171f
• 71c44a78cd77a8f5767096f268c3193108ac06ff3779c65e78bc879d3b0ff11d
• 77f226769eb1a886606823d5b7832d92f678f0c2e1133f3bbee939b256c398aa
• 7e95e9a306886dadbae68c586bf19eec6903bac15290fd60c47d29a2e3cbf047
• 7f55dddcfad05403f71580ec2e5acafdc8c9555e72f724eb1f9e37bf09b8cc0c
• 8e9fa712f490b50d13940cc3ab1509566f31627fce8848071a0547bda58ceac8
• 8fef8831cbc864ffe16e281b0e4af8e3999518c15677866ac80ffb9495959637
• 93c5e98c06963c8a320f5876148ad45fb6cce1a40a7aaee195cfa5027e19426b
• 95182e759373f78c421b47dc92d15f1f37c1acea1cd76980058c6ad177491823
• 9b2064f8808d3aaa2d3dc9f5c7ee0775b29e29df3a958466a8953f148b702461
• 9c9bc75ce675754c655b0757a8655ff50186b1626862bcb5b8200c4047f3ab3c
• a1298cc00605c79679f72b22d5c9c8e5c8557218458d6a6bd152b2c2514810eb
• ad84c798e3c30ad941b37aababeb8edfaf52f13c0c7d32bfa96c4b989b135a8b
• aea39ddf59ae764c40211a4d0e9c10514b37a9bbabf5b528de4cb7d2574b732b
• b16769c154fbb8023ada13cf58a9b289b9643f6cb932afb4dde0189a147d5e11
• b4bd13770c3514596dd36854850a9507e5734374083a0e4299c697b6c9b9ec58
• cdf66b98f90a9e83b204bf2bb28915784f9e9ad4d2fb86648d1d1f7d3152dadd
• d5ac8e081298e3b14b41f2134dae68535bcf740841e75f91754d3d0c0814ed42
• e1598249d86925b6648284fda00e02eb41fdcc75559f10c80acd182fd1f0e23a
• eb8299c16a311ac2412c55af16d1d3821ce7386c86ae6d431268a3285c8e81fb
• f0ee3582856f3f406970530138c06ba3c1c175e9d2dae95e6d3ef3c5ed6dc13a
• f4611b75113d31e344a7d37c011db37edaa436b7d84ca4dfd77a468bdeff0271
• ff8110883628f8d926588c0b7aedae8841df989d50f32c140d88f1105d1d3e02