Adaptación del articulo “Examining New DawDropper Baking Dropper And DaaS on the Dark Web”  https://www.trendmicro.com/es_es/research/22/g/examining-new-dawdropper-banking-dropper-and-daas-on-the-dark-we.html

En el siguiente articulo” Examining New DawDropper Banking Dropper and DaaS on the Dark Web” se discutirán los detalles técnicos de un nuevo gotero bancario que se ha denominado DawDropper, se brindará una breve historia de los troyanos bancarios lanzados a principios de 2022 que usan goteros maliciosos y detallamos las actividades cibercriminales relacionadas con DaaS en la Dark Web.

Este año, los actores maliciosos han estado agregando subrepticiamente un número creciente de troyanos bancarios a Google Play Store a través de cuentagotas maliciosos, lo que demuestra que esta técnica es efectiva para evadir la detección. Además, debido a que existe una gran demanda de nuevas formas de distribuir malware móvil, varios actores maliciosos afirman que sus cuentagotas podrían ayudar a otros ciberdelincuentes a difundir su malware en Google Play Store, lo que da como resultado un modelo de cuentagotas como servicio (DaaS).

A fines de 2021, encontramos una campaña maliciosa que usa una nueva variante de cuentagotas que hemos denominado DawDropper. Bajo la apariencia de varias aplicaciones de Android como Just In: Video Motion, Document Scanner Pro, Conquer Darkness, simpli Cleaner y Unicc QR Scanner, DawDropper usa Firebase Realtime Database, un servicio en la nube de terceros, para evadir la detección y obtener dinámicamente una dirección de descarga de carga útil. También alberga cargas útiles maliciosas en GitHub. A partir de la creación de este informe, estas aplicaciones maliciosas ya no están disponibles en Google Play Store.

Imagen 1. Aplicaciones maliciosas DawDropper previamente disponibles en Google Play Store.

Según las observaciones realizadas por TrendMicro, DawDropper tiene variantes que arrojan cuatro tipos de troyanos bancarios, incluidos Octo, Hydra, Ermac y TeaBot. Todas las variantes de DawDropper usan una base de datos en tiempo real de Firebase, una base de datos NoSQL legítima alojada en la nube para almacenar datos, como su servidor de comando y control (C&C) y aloja cargas útiles maliciosas en GitHub.

Imagen 2. Cadena de infección de DawDropper

Imagen 3. Repositorio de GitHub que aloja la carga útil de Octo

La carga útil de Octo

La carga útil maliciosa de DawDropper pertenece a la familia de malware Octo, que es un malware modular y de varias etapas que es capaz de robar información bancaria, interceptar mensajes de texto y secuestrar dispositivos infectados. Octo también se conoce como Coper , y se ha utilizado históricamente para dirigirse a los usuarios colombianos de banca en línea.

Según nuestro análisis, la carga útil del malware Octo de DawDropper es similar a las variantes informadas anteriormente. El paquete utiliza palabras clave del lenguaje de programación para ofuscar funcionalidades maliciosas.

Imagen 6. El mismo tipo de paquetes de carga útil de Octo implementados en marzo y junio de 2022

Una vez que el malware Octo se inicia con éxito en el dispositivo de la víctima y obtiene los permisos principales, mantendrá el dispositivo despierto y registrará un servicio programado para recopilar y cargar datos confidenciales en su servidor C&C. También utiliza computación de red virtual (VNC) para registrar la pantalla de un usuario, incluida información confidencial, como credenciales bancarias, direcciones de correo electrónico y contraseñas, y PIN. El malware también hace que la pantalla de un usuario se vuelva negra al apagar la luz de fondo del dispositivo y apaga el sonido del dispositivo para ocultar el comportamiento malicioso.

Imagen 7. La cadena de infección del malware Octo

El malware también puede deshabilitar Google Play Protect (que pasa por las aplicaciones de un dispositivo y verifica si hay comportamiento malicioso) y recopila datos del usuario, incluida la identificación de Android de un teléfono móvil infectado, la lista de contactos, las aplicaciones instaladas e incluso los mensajes de texto.

Recomendaciones

Los ciberdelincuentes encuentran constantemente formas de evadir la detección e infectar tantos dispositivos como sea posible. En un lapso de medio año, hemos visto cómo los troyanos bancarios han evolucionado sus rutinas técnicas para evitar ser detectados, como ocultar cargas maliciosas en cuentagotas. A medida que haya más troyanos bancarios disponibles a través de DaaS, los actores maliciosos tendrán una forma más fácil y rentable de distribuir malware disfrazado de aplicaciones legítimas. Prevemos que esta tendencia continuará y que se distribuirán más troyanos bancarios en los servicios de distribución digital en el futuro.

Para evitar ser víctimas de aplicaciones maliciosas, los usuarios deben adoptar las siguientes mejores prácticas de seguridad:

• Siempre revise las revisiones de la aplicación para ver si los usuarios expresan inquietudes inusuales o experiencias negativas.
• Aplique la diligencia debida cuando busque desarrolladores y editores de aplicaciones. Evite descargar aplicaciones de sitios web sospechosos.
• Evite instalar aplicaciones de fuentes desconocidas.

• Tener en nuestros dispositivos móviles instalado el agente Worry-Free Services advanced ya que nos protege el correo, la web y el uso compartido de archivos, y filtra las URL bloqueando el acceso a sitios web inadecuados.

Los usuarios de dispositivos móviles también se pueden ayudar a minimizar las amenazas que representan estas aplicaciones fraudulentas mediante el uso de  Trend Micro Mobile Security Solutions para escanear dispositivos móviles en tiempo real y bajo demanda para detectar aplicaciones maliciosas o malware para bloquearlas o eliminarlas. Estas aplicaciones están disponibles tanto para Android como para iOS.