Actualités

“Toutes les variantes de DawDropper utilisent une base de données en temps réel Firebase” : mise en lumière de DawDropper, un nouveau Dropper-as-a-Service sur le Google Play Store !

Tout ce qui est bon mais, aussi, nuisible, perdure : l’équipe TrendMicro vient de publier ses conclusions sécuritaires concernant un nouveau DaaS (Dropper-as-a-Service). Nommé DawDropper, il sévirait essentiellement sur le Play Store de Google, depuis (au moins) la seconde moitié de l’année 2021…

 

 

DawDropper possède des variantes qui suppriment quatre types de chevaux de Troie bancaires, notamment Octo, Hydra, Ermac et TeaBot. Toutes les variantes de DawDropper utilisent une base de données en temps réel Firebase, une base de données NoSQL légitime hébergée dans le cloud pour stocker des données, comme serveur de commande et de contrôle (C&C) et hébergent des charges utiles malveillantes sur GitHub […] La charge utile malveillante de DawDropper appartient à la famille des logiciels malveillants Octo, qui est un logiciel malveillant modulaire et à plusieurs étapes capable de voler des informations bancaires, d’intercepter des messages texte et de détourner des appareils infectés. Octo est également connu sous le nom de Coper, et il a été historiquement utilisé pour cibler les utilisateurs de services bancaires en ligne colombiens“, indique le billet sécuritaire des chercheurs, tout en faisant corréler la charge virale avec Clast82, un autre dropper révélé en Mars 2021, alors, par les équipes de CheckPoint Research. Ce dropper exploitait, également, la base de données en temps réel de Firebase pour ex-filtrer les informations et communiquer par serveur command-and-control tout comme la famille de malwares Octo évoquée ci-dessus.

 

Capacités ou fonctions (Octo, dont la charge virale est similaire à DawDropper), après installation et initialisation sur le terminal de la victime, via application mobile tronquée ou infectée :

 

  • Maintien du terminal hors de l’état de veille,
  • Noircissement-écran (retro-éclairage et son inactifs) : cyber-espionnage,
  • Donnés personnelles : contacts, applications, SMS,
  • Donnés sensibles : code PIN, écran, informations bancaires, mail, mot de passe,
  • Désactivation du Google Play Protect,
  • Collecte + ex-filtration données sensibles,
  • Collecte + ex-filtration de captures-écran.
  • Ex-filtration : command-and-control et / ou VNC (Virtual Network Computing).

 

Sont concernés, les applications mobiles suivantes :

 

  • Call Recorder,
  • Rooster VPN,
  • Super Cleaner,
  • Document Scanner,
  • Universal Saver Pro,
  • Eagle photo editor,
  • Call recorder pro plus,
  • Extra Cleaner,
  • Crypto Utils,
  • FixCleaner,
  • Universal Saver Pro,
  • Lucky Cleaner,
  • Just In : Video Motion,
  • Document Scanner PRO,
  • Conquer Darkness,
  • Simpli Cleaner,
  • Unicc QR Scanner.

 

Au-delà de la nécessité, si ce n’était déjà fait, de désinstaller ces applications, les chercheurs rappellent quelques règles de bienveillance ou de logique : vérifier les commentaires dans la fiche d’une application (en essayant de voir des “préoccupations inhabituelles“), de télécharger les applications sur des e-boutiques officielles type Google (non-tierces ou de sources inconnues)… A veiller !

 

 

 

Source : TrendMicro – 29 Juillet 2022 – DawDropper : nouveau DaaS (famille Octo) sur le Google Play Store (17 applications compromises – depuis mi-2021 environ).




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.12.0