关键词:银行木马、DawDropper、DaaS服务、规避检测

今年,攻击者通过恶意下载器偷偷地将越来越多的银行木马添加到Google Play Store中,这证明了这种技术在逃避检测方面是有效的。此外,由于对传播移动恶意软件的新方法的需求很高,一些攻击者声称,他们的下载器可能会帮助其他网络犯罪分子在Google Play Store上传播恶意软件,从而形成下载器即服务(DaaS)模式。

在2021下半年,趋势科技团队发现了一起恶意活动,使用了一种新的下载器变体,并将其命名为DawDropper。DawDropper在若干Android应用程序的伪装下,例如Just-In:Video Motion、Document Scanner Pro、Converge Darkness、simpli Cleaner和Unicc QR Scanners,使用Firebase Realtime Database这一第三方云服务来逃避检测,并动态获取有效负载下载地址。它还在GitHub上托管恶意有效负载。目前,Google Play Store不再提供这些恶意应用。

图1. Google Play Store提供的DawDropper恶意应用

1. DawDropper技术分析

DawDropper的变体可以删除四种类型的银行特洛伊木马,包括Octo、Hydra、Ermac和TeaBot。所有DawDropper变体都使用Firebase实时数据库,这是一个合法的云托管NoSQL数据库,用于存储数据,作为其命令和控制(C&C)服务器,并在GitHub上托管恶意有效负载。

图2.Dropper感染链

图3.承载Octo负载的GitHub库

图4.承载Ermac负载的GitHub库

图5.承载Hydra负载的GitHub库

2. 服务器返回数据相似性

近日, CheckPoint Research于2021发现的一个名为Clast82的下载器也使用了Firebase实时数据库作为C&C服务器。

图6.从C&C服务器获取的数据格式(来源:com.abcd[.]evpnfree)

DawDropper的C&C服务器返回与Clast82数据类似的数据:

图7.DawDropper C&C服务器响应

图8.DawDropper变体的C&C服务器响应,添加了安装指标和安装新更新的提示

3. Octo有效载荷

DawDropper的恶意负载属于Octo恶意软件家族,这是一种模块化多阶段恶意软件,能够窃取银行信息、拦截短信和劫持受感染的设备。Octo也被称为Coper,历史上一直被用于针对哥伦比亚的在线银行用户。

Dawdroper的Octo恶意软件负载与之前报告的变体相似,该软件包使用编程语言关键字来混淆恶意功能。

图9.2022年3月和6月部署的同类型Octo有效载荷包

一旦Octo恶意软件在受害者的设备中成功启动并获得主要权限,它将使设备保持在线状态,并注册计划服务,以收集敏感数据并将其上载到C&C服务器。它还使用VNC来记录用户的屏幕,包括银行凭证、电子邮件地址和密码以及PIN等敏感信息。该恶意软件还通过关闭设备的背光并关闭设备的声音来隐藏恶意行为,从而导致用户的屏幕变黑。

图10.Octo恶意软件感染链

该恶意软件还可以禁用Google Play Protect(通过设备的应用程序检查恶意行为),并收集用户数据,包括受感染手机的Android ID、联系人列表、已安装的应用程序和短信。

4. 银行木马下载器历史

本节回顾自2022年初以来,下载器是如何出现在Google Play Store上的,分析这些下载器之间的差异和演变,并了解网络犯罪分子是如何传播它们的。

图11.2022年上半年通过下载器分发银行特洛伊木马的时间线

  • 银行木马下载器之间的差异

虽然这些银行木马下载器的主要目标相同:在受害者的设备上分发和安装恶意软件,但这些下载器在如何实现其恶意进程方面存在明显差异。例如,今年早些时候推出的下载器具有硬编码的有效载荷下载地址。然而,最近推出的往往隐藏实际有效负载下载地址,有时使用第三方服务作为其C&C服务器,并使用GitHub等第三方服务器托管恶意有效负载。

银行dropper名称及其发布日期动态地址第三方存储加密有效载荷

Vultur dropper

Jan 12, 2022

(com.privacy.account.safetyapp)

Sharkbot dropper

Jan 14, 2022

(com.pagnotto28.sellsourcecode.supercleaner)

Octo dropper(Gymdrop dropper)

Feb 17, 2022

(com.moh.screen)

Feb. 6, 2022

(Vizeeva.fast.cleaner)

Ermac dropper(DawDropper)

Mar 25, 2022

(com.qaz.universalsaver)

(Firebase Realtime Database)

(GitHub)

TeaBot dropper

Apr 3, 2022

(com.zynksoftware.docuscanapp)

Feb 11, 2022

(com.scanner.buratoscanner)

(GitHub)

(GitHub)

Hydra dropper(DawDropper)

Apr 23, 2022

(com.casualplay.leadbro)

(Firebase Realtime Database)

(GitHub)

Hydra dropper (Gymdrop dropper)

May 30, 2022

(com.anatolijserba.docscanner)

Vultur dropper (SHA256:00A733C78F1B4D4F54CF06A0EA8CC33604512D6032EF9114C89C700BFAFCF)也被称为Brunhilda,在2020年底首次被报道为DaaS。2022年1月,趋势科技观察到它直接在受感染的设备上下载恶意负载,并有自己的方法来解密恶意负载。

图12.Vultur dropper的下载文件

图13.Vultur dropper的恶意负载解密

同样于2022年1月发布的Sharkbot dropper(SHA-256:7f55dddcfad05403f71580ec2e5acafdc8c9555e72f724eb1f9e37bf09b8cc0c)有一个特性:它不仅充当下载器,还请求访问权限,并响应受感染设备的所有用户界面(UI)事件。

图14.Sharkbot dropper的请求服务器

图15.Sharkbot dropper从响应中获取下载URL

5. DaaS暗网活动

在此前对使用下载器的银行特洛伊木马的调查中观察到,2021年首次报告的下载器——Gymdrop可以连接到一个管理面板(trackerpdfconnect[.]com和smartscreencaster[.]online),网络犯罪分子可以使用该管理面板管理下载器和有效载荷,同时还发现Gymdrop在一个暗网论坛上被视作为典型的DaaS。

图16. Hydra dropper的Gymdrop管理面板

图17.2022年2月,Gymdrop管理面板登录页面出现在一个地下论坛中

6. 结论与安全建议

网络犯罪分子一直在想方设法逃避检测并感染尽可能多的设备。在半年的时间里,我们看到了银行特洛伊木马如何演变其技术例程以避免被检测到,例如在下载器中隐藏恶意有效载荷。随着越来越多的银行特洛伊木马通过DaaS传播,攻击者将有一种更简单、更具成本效益的方式来分发伪装成合法应用的恶意软件。我们预计这一趋势将持续下去,未来可能将有更多的银行特洛伊木马在数字分发服务上分发。

为了避免成为恶意应用的受害者,用户可采用以下措施:

  • 查看应用程序评论,看看用户是否投诉负面体验。

  • 在调查应用程序开发人员和发布者时,应进行尽职调查,避免从可疑网站下载应用程序。

  • 避免安装来自未知来源的应用程序。

附录1. 攻击指标IOCs

DawDropper

SHA-256

包名

检测名称

C&C 服务器

载荷地址

有效载荷族

022a01566d6033f6d90ab182c4e69f80a3851565aaaa386c8fa1a9435cb55c91

com.caduta.aisevsk

AndroidOS_DawDropper.HRX

call-recorder66f03-defaultrtdb[.]firebaseio[.]com

hxxps://github.com/uliaknazeva888/qs/raw/main/1.apk

Octo

e1598249d86925b6648284fda00e02eb41fdcc75559f10c80acd182fd1f0e23a

com.vpntool.androidweb

AndroidOS_DawDropper.HRXA

rooster945d8defaultrtdb[.]firebaseio[.]com

hxxps://github.com/butcher65/test/raw/main/golgofan.apk

Hydra

8fef8831cbc864ffe16e281b0e4af8e3999518c15677866ac80ffb9495959637

com.j2ca.callrecorder

AndroidOS_DawDropper.HRXA

callrecorderad77f-defaultrtdb[.]firebaseio[.]com

hxxps://github.com/butcher65/test/raw/main/gala.apk

Octo

05b3e4071f62763b3925fca9db383aeaad6183c690eecbbf532b080dfa6a5a08

com.codeword.docscann

AndroidOS_DawDropper.HRXA

docscannercff1ddefaultrtdb[.]firebaseio[.]com

hxxps://github.com/lotterevich/lott/raw/main/maina.apk

TeaBot

f4611b75113d31e344a7d37c011db37edaa436b7d84ca4dfd77a468bdeff0271

com.virtualapps.universalsaver

AndroidOS_DawDropper.HRXA

universalsaverprodefaultrtdb[.]firebaseio[.]com

hxxps://github.com/uliaknazeva888/qs/raw/main/1.apk

Octo

a1298cc00605c79679f72b22d5c9c8e5c8557218458d6a6bd152b2c2514810eb

com.techmediapro.photoediting

AndroidOS_DawDropper.HRXA

eaglephotoeditor2d4e5defaultrtdb[.]firebaseio[.]com

hxxps://github.com/butcher65/test/raw/main/lolipop.apk

Hydra

eb8299c16a311ac2412c55af16d1d3821ce7386c86ae6d431268a3285c8e81fb

com.chestudio.callrecorder

AndroidOS_DawDropper.HRXA

call-recorder-pro-371bc-default-rtdb.firebaseio.com

hxxps://github.com/sherrytho/test/raw/main/golgol.apk

Hydra

d5ac8e081298e3b14b41f2134dae68535bcf740841e75f91754d3d0c0814ed42

com.casualplay.leadbro

AndroidOS_DawDropper.HRXA

loader-acb47-default-rtdb[.]firebaseio[.]com

hxxps://github.com/briangreen7667/2705/raw/main/addon2.apk

Hydra

b4bd13770c3514596dd36854850a9507e5734374083a0e4299c697b6c9b9ec58

com.utilsmycrypto.mainer

AndroidOS_DawDropper.HRXA

crypto-utils-l-default-rtdb[.]firebaseio[.]com

hxxps://github.com/asFirstYouSaid/test/raw/main/110.apk

hxxps://github.com/asFirstYouSaid/test/raw/main/SecureChat%20(1).apk

Ermac

77f226769eb1a886606823d5b7832d92f678f0c2e1133f3bbee939b256c398aa

com.cleaner.fixgate

AndroidOS_DawDropper.HRXA

fixcleaner-60e32-default-rtdb[.]firebaseio[.]com

hxxps://github.com/butcher65/test/raw/main/latte.apk

Hydra

5ee98b1051ccd0fa937f681889e52c59f33372ffa27afff024bb76d9b0446b8a

com.olivia.openpuremind

AndroidOS_DawDropper.HRX

crypto-sequence-default-rtdb[.]firebaseio.com

N/A

N/A

0ebcf3bce940daf4017c85700ffc72f6b3277caf7f144a69fbfd437d1343b4ab

com.myunique.sequencestore

AndroidOS_DawDropper.HRX

coin-flow-a179b-default-rtdb.firebaseio.com

N/A

N/A

2113451a983916b8c7918c880191f7d264f242b815b044a6351c527f8aeac3c8

com.flowmysequto.yamer

AndroidOS_DawDropper.HRX

incrypted-app-default-rtdb.firebaseio.com

N/A

N/A

71c44a78cd77a8f5767096f268c3193108ac06ff3779c65e78bc879d3b0ff11d

com.qaz.universalsaver

AndroidOS_DawDropper.HRX

saver-9a43a-default-rtdb[.]firebaseio.com

hxxps://raw.githubusercontent.com/asFirstYouSaid/awdaw/main/Xnode_new.apk

hxxps://raw.githubusercontent.com/asFirstYouSaid/test/main/GoogleMaps%20(2)_obf.apk

Ermac

9b2064f8808d3aaa2d3dc9f5c7ee0775b29e29df3a958466a8953f148b702461

com.luckyg.cleaner

AndroidOS_DawDropper.HRXA

lucky-cleaner-default-rtdb[.]firebaseio[.]com

hxxps://github.com/gohhas/gate/raw/main/live.apk

Octo

ff8110883628f8d926588c0b7aedae8841df989d50f32c140d88f1105d1d3e02

com.scando.qukscanner

AndroidOS_DawDropper.HRX

cleaner-f40c4-default-rtdb[.]firebaseio[.]com

hxxps://raw.githubusercontent.com/k6062019/qq/main/clown.apk

Octo

02499a198a8be5e203b7929287115cc84d286fc6afdb1bc84f902e433a7961e4

com.qrdscannerratedx

AndroidOS_DawDropper.HRX

Qrscanner-f6d8d-default-rtdb.firebaseio.com

hxxps://raw.githubusercontent.com/k6062019/qq/main/clown.apk

Octo

022a01566d6033f6d90ab182c4e69f80a3851565aaaa386c8fa1a9435cb55c91

com.caduta.aisevsk

AndroidOS_DawDropper.HRX

call-recorder-66f03-default-rtdb[.]firebaseio[.]com

hxxps://github.com/uliaknazeva888/qs/raw/main/1.apk

Octo

e1598249d86925b6648284fda00e02eb41fdcc75559f10c80acd182fd1f0e23a

com.vpntool.androidweb

AndroidOS_DawDropper.HRXA

rooster-945d8-default-rtdb[.]firebaseio[.]com

hxxps://github.com/butcher65/test/raw/main/golgofan.apk

Hydra

8fef8831cbc864ffe16e281b0e4af8e3999518c15677866ac80ffb9495959637

com.j2ca.callrecorder

AndroidOS_DawDropper.HRXA

call-recorder-ad77f-default-rtdb[.]firebaseio[.]com

hxxps://github.com/butcher65/test/raw/main/gala.apk

Octo

05b3e4071f62763b3925fca9db383aeaad6183c690eecbbf532b080dfa6a5a08

com.codeword.docscann

AndroidOS_DawDropper.HRXA

doc-scanner-cff1d-default-rtdb[.]firebaseio[.]com

hxxps://github.com/lotterevich/lott/raw/main/maina.apk

TeaBot

f4611b75113d31e344a7d37c011db37edaa436b7d84ca4dfd77a468bdeff0271

com.virtualapps.universalsaver

AndroidOS_DawDropper.HRXA

universalsaverpro-default-rtdb[.]firebaseio[.]com

hxxps://github.com/uliaknazeva888/qs/raw/main/1.apk

Octo

a1298cc00605c79679f72b22d5c9c8e5c8557218458d6a6bd152b2c2514810eb

com.techmediapro.photoediting

AndroidOS_DawDropper.HRXA

eaglephotoeditor-2d4e5-default-rtdb[.]firebaseio[.]com

hxxps://github.com/butcher65/test/raw/main/lolipop.apk

Hydra

eb8299c16a311ac2412c55af16d1d3821ce7386c86ae6d431268a3285c8e81fb

com.chestudio.callrecorder

AndroidOS_DawDropper.HRXA

call-recorder-pro-371bc-default-rtdb.firebaseio.com

hxxps://github.com/sherrytho/test/raw/main/golgol.apk

Hydra

d5ac8e081298e3b14b41f2134dae68535bcf740841e75f91754d3d0c0814ed42

com.casualplay.leadbro

AndroidOS_DawDropper.HRXA

loader-acb47-default-rtdb[.]firebaseio[.]com

hxxps://github.com/briangreen7667/2705/raw/main/addon2.apk

Hydra

b4bd13770c3514596dd36854850a9507e5734374083a0e4299c697b6c9b9ec58

com.utilsmycrypto.mainer

AndroidOS_DawDropper.HRXA

crypto-utils-l-default-rtdb[.]firebaseio[.]com

hxxps://github.com/asFirstYouSaid/test/raw/main/110.apk

hxxps://github.com/asFirstYouSaid/test/raw/main/SecureChat%20(1).apk

Ermac

77f226769eb1a886606823d5b7832d92f678f0c2e1133f3bbee939b256c398aa

com.cleaner.fixgate

AndroidOS_DawDropper.HRXA

fixcleaner-60e32-default-rtdb[.]firebaseio[.]com

hxxps://github.com/butcher65/test/raw/main/latte.apk

Hydra

5ee98b1051ccd0fa937f681889e52c59f33372ffa27afff024bb76d9b0446b8a

com.olivia.openpuremind

AndroidOS_DawDropper.HRX

crypto-sequence-default-rtdb[.]firebaseio.com

N/A

N/A

0ebcf3bce940daf4017c85700ffc72f6b3277caf7f144a69fbfd437d1343b4ab

com.myunique.sequencestore

AndroidOS_DawDropper.HRX

coin-flow-a179b-default-rtdb.firebaseio.com

N/A

N/A

2113451a983916b8c7918c880191f7d264f242b815b044a6351c527f8aeac3c8

com.flowmysequto.yamer

AndroidOS_DawDropper.HRX

incrypted-app-default-rtdb.firebaseio.com

N/A

N/A

71c44a78cd77a8f5767096f268c3193108ac06ff3779c65e78bc879d3b0ff11d

com.qaz.universalsaver

AndroidOS_DawDropper.HRX

saver-9a43a-default-rtdb[.]firebaseio.com

hxxps://raw.githubusercontent.com/asFirstYouSaid/awdaw/main/Xnode_new.apk

hxxps://raw.githubusercontent.com/asFirstYouSaid/test/main/GoogleMaps%20(2)_obf.apk

Ermac

9b2064f8808d3aaa2d3dc9f5c7ee0775b29e29df3a958466a8953f148b702461

com.luckyg.cleaner

AndroidOS_DawDropper.HRXA

lucky-cleaner-default-rtdb[.]firebaseio[.]com

hxxps://github.com/gohhas/gate/raw/main/live.apk

Octo

ff8110883628f8d926588c0b7aedae8841df989d50f32c140d88f1105d1d3e02

com.scando.qukscanner

AndroidOS_DawDropper.HRX

cleaner-f40c4-default-rtdb[.]firebaseio[.]com

hxxps://raw.githubusercontent.com/k6062019/qq/main/clown.apk

Octo

02499a198a8be5e203b7929287115cc84d286fc6afdb1bc84f902e433a7961e4

com.qrdscannerratedx

AndroidOS_DawDropper.HRX

Qrscanner-f6d8d-default-rtdb.firebaseio.com

hxxps://raw.githubusercontent.com/k6062019/qq/main/clown.apk

Octo

Github存储库

存储地址

描述

hxxps://github.com/butcher65/test

托管Octo和Hydra 银行特洛伊木马的GitHub存储库

hxxps://github.com/lotterevich/lott

托管TeaBot银行特洛伊木马的GitHub存储库

hxxps://github.com/asFirstYouSaid/test

托管Ermac银行特洛伊木马的GitHub存储库

hxxps://github.com/asFirstYouSaid/awdaw

托管Ermac银行特洛伊木马的GitHub存储库

hxxps://github.com/gohhas/gate

托管Octo银行特洛伊木马的GitHub存储库

hxxps://raw.github.com/k6062019/qq

托管Octo银行特洛伊木马的GitHub存储库

hxxps://github.com/briangreen7667/2705

托管Octo银行特洛伊木马的GitHub存储库

hxxps://github.com/uliaknazeva888/main

托管Octo银行特洛伊木马的GitHub存储库

hxxps://github.com/kazakovadana44/1.apk

托管Octo银行特洛伊木马的GitHub存储库

hxxps://github.com/sherrytho/test

托管Octo银行特洛伊木马的GitHub存储库

网络指标

描述

vntososupplsos.live

Octo C&C 服务器

olopokogulya.site

Octo C&C 备份服务器

nbvb3954.fun

Octo C&C 备份服务器

nbvvvb.hair

Octo C&C 备份服务器

nbvbbn.lol

Octo C&C 备份服务器

nbvber.makeup

Octo C&C 备份服务器

nbvbsd.mom

Octo C&C 备份服务器

nbvbwe.monster

Octo C&C 备份服务器

nbvb.one

Octo C&C 备份服务器

vbnbvb.online

Octo C&C 备份服务器

ccnbvb.pics

Octo C&C 备份服务器

xxnbvb.quest

Octo C&C 备份服务器

eenbvb.sbs

Octo C&C 备份服务器

asqwnbvb.shop

Octo C&C 备份服务器

qwnbvb.skin

Octo C&C 备份服务器

qqnbvb.space

Octo C&C 备份服务器

wwerenbvb.store

Octo C&C 备份服务器

Ermac有效载荷

SHA-256

包名

下载地址

检测名称

cdf66b98f90a9e83b204bf2bb28915784f9e9ad4d2fb86648d1d1f7d3152dadd

com.ceveluriseze.xuca

hxxps://raw.githubusercontent.com/asFirstYouSaid/awdaw/main/Xnode_new.apk

hxxps://raw.githubusercontent.com/asFirstYouSaid/test/main/GoogleMaps%20(2)_obf.apk

AndroidOS_Anubis.GCL

71927786fc16e90fe05e1eb032c3591d878c7cfd197d02113d7d006e2d7b171f

com.ceveluriseze.xuca

hxxps://github.com/asFirstYouSaid/test/raw/main/110.apk

hxxps://github.com/asFirstYouSaid/test/raw/main/SecureChat%20(1).apk

AndroidOS_Anubis.GCL‍

    参考链接:https://www.trendmicro.com/en_us/research/22/g/examining-new-dawdropper-banking-dropper-and-daas-on-the-dark-we.html

    编辑|梁爽

    审校|何双泽、金矢

    本文为CNTIC编译整理,不代表本公众号观点,转载请保留出处与链接。

    声明:本文来自国家网络威胁情报共享开放平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。