Исследователи Trend Micro обнаружили кампанию , которая использует приложения-дропперы для Android, чтобы скомпрометировать устройство жертвы с помощью банковского трояна.
Набор из 17 приложений под названием DawDropper маскировались под сканеры документов, скнеры QR-кодов, регистраторы вызовов и т.д. На данный момент все обнаруженные приложения удалены из Google Play, пишет Securitylab.
Дропперы — это приложения, которые обходят средств защиты Google Play Store, а затем загружают на устройство реальные вредоносные программы.
В атаке ПО DawDropper устанавливает соединение с Firebase Realtime Database для получения URL-адреса GitHub, необходимого для загрузки вредоносного APK-файла. DawDropper также размещает вредоносные полезные нагрузки на GitHub. В данной компании на устройства устанавливалось вредоносное ПО Coper, Hydra, ERMAC и TeaBot.
Список вредоносных приложений-дропперов приведен ниже:
Среди дропперов есть приложение «Unicc QR Scanner», которое ранее распространяло банковский троян Coper. Также в списке есть приложение Octo, которое отключает Google Play Protect и использует виртуальные сетевые вычисления (VNC) для записи экрана устройства-жертвы. В результате злоумышленник крадет конфиденциальную информацию, такую как банковские учетные данные, адреса электронной почты и пароли, а также PIN-коды, которые впоследствии передаются на удаленный сервер.