استفادت حملة ضارة من تطبيقات قطارة Android التي تبدو غير ضارة على متجر Google Play لتعريض أجهزة المستخدمين للخطر باستخدام الخدمات المصرفية البرمجيات الخبيثة.
تطبيقات القطارة الـ 17 هذه ، المُدبلجة مجتمعة داودروبير بواسطة Trend Micro ، متنكرة في صورة تطبيقات إنتاجية وأدوات مساعدة مثل الماسحات الضوئية للمستندات ، وقارئات رمز الاستجابة السريعة ، وخدمات VPN ، ومسجلات المكالمات ، وغيرها. تمت إزالة كل هذه التطبيقات المعنية من سوق التطبيقات.
“يستخدم DawDropper قاعدة بيانات Firebase Realtime ، وهي خدمة سحابية لجهة خارجية ، لتجنب الاكتشاف والحصول ديناميكيًا على عنوان تنزيل الحمولة” ، كما قال الباحثون قال. “كما أنها تستضيف حمولات ضارة على GitHub.”
Droppers عبارة عن تطبيقات مصممة للتسلل عبر فحوصات أمان متجر Google Play ، وبعد ذلك يتم استخدامها لتنزيل برامج ضارة أكثر قوة وتطفلًا على الجهاز ، في هذه الحالة ، اوكتو (كوبر) ، العدارو إرماك، و تيبوت.
تضمنت سلاسل الهجوم برنامج DawDropper الضار الذي ينشئ اتصالات مع قاعدة بيانات Firebase Realtime لتلقي عنوان URL لـ GitHub اللازم لتنزيل ملف APK الضار.
قائمة التطبيقات الضارة المتوفرة سابقًا من متجر التطبيقات أدناه –
- مسجل المكالمات APK (com.caduta.aisevsk)
- Rooster VPN (com.vpntool.androidweb)
- Super Cleaner- هايبر وذكي (com.j2ca.callrecorder)
- ماسح المستندات – منشئ PDF (com.codeword.docscann)
- Universal Saver Pro (com.virtualapps.universalsaver)
- محرر صور النسر (com.techmediapro.photoediting)
- مسجل المكالمات pro + (com.chestudio.callrecorder)
- منظف إضافي (com.casualplay.leadbro)
- تشفير Utils (com.utilsmycrypto.mainer)
- FixCleaner (com.cleaner.fixgate)
- Just In: Video Motion (com.olivia.openpuremind)
- com.myunique.sequencestore
- com.flowmysequto.yamer
- com.qaz.universaver
- Lucky Cleaner (com.luckyg.cleaner)
- Simpli Cleaner (com.scando.qukscanner)
- Unicc QR Scanner (com.qrdscannerratedx)
تم تضمين تطبيق يسمى “Unicc QR Scanner” ضمن القطارات التي كانت في السابق تم الإبلاغ عنها بواسطة Zscaler في وقت سابق من هذا الشهر ، تم توزيع حصان طروادة Coper Banking ، وهو نوع من البرمجيات الخبيثة للأجهزة المحمولة من Exobot.
ومن المعروف أيضًا تعطيل Octo جوجل بلاي للحماية واستخدام حوسبة الشبكة الافتراضية (VNC) لتسجيل شاشة جهاز الضحية ، بما في ذلك المعلومات الحساسة مثل بيانات الاعتماد المصرفية وعناوين البريد الإلكتروني وكلمات المرور وأرقام التعريف الشخصية ، وكلها يتم تسريبها لاحقًا إلى خادم بعيد.
من جانبهم ، فإن المتسربين من البنوك تطورت منذ بداية العام ، الابتعاد عن عناوين تنزيل الحمولة المشفرة باستخدام وسيط لإخفاء العنوان الذي يستضيف البرامج الضارة.
وقال الباحثون: “مجرمو الإنترنت يجدون باستمرار طرقًا لتجنب اكتشاف وإصابة أكبر عدد ممكن من الأجهزة”.
“بالإضافة إلى ذلك ، نظرًا لوجود طلب كبير على طرق جديدة لتوزيع البرامج الضارة على الأجهزة المحمولة ، يزعم العديد من الجهات الفاعلة الخبيثة أن أدوات التنقيب الخاصة بهم يمكن أن تساعد مجرمي الإنترنت الآخرين في نشر برامجهم الضارة على متجر Google Play ، مما يؤدي إلى استخدام القطارة كخدمة (DaaS) نموذج.”