17 приложений в Google Play распространяли банковский троян

банковский троян Google Google Play Android Coper TeaBot ERMAC Trend Micro
17 приложений в Google Play распространяли банковский троян
банковский троян Google Google Play Android Coper TeaBot ERMAC Trend Micro

Дропперы маскировались под приложения для оптимизации системы и сканеры QR-кодов

Исследователи Trend Micro обнаружили кампанию , которая использует приложения-дропперы для Android, чтобы скомпрометировать устройство жертвы с помощью банковского трояна.

Набор из 17 приложений под названием DawDropper маскировались под сканеры документов, скнеры QR-кодов, регистраторы вызовов и т.д. На данный момент все обнаруженные приложения удалены из Google Play.


Дропперы — это приложения, которые обходят средств защиты Google Play Store, а затем загружают на устройство реальные вредоносные программы.

В атаке ПО DawDropper устанавливает соединение с Firebase Realtime Database для получения URL-адреса GitHub, необходимого для загрузки вредоносного APK-файла. DawDropper также размещает вредоносные полезные нагрузки на GitHub. В данной компании на устройства устанавливалось вредоносное ПО Coper , Hydra, ERMAC и TeaBot .

Список вредоносных приложений-дропперов приведен ниже:

  1. Call Recorder APK (com.caduta.aisevsk)
  2. Rooster VPN (com.vpntool.androidweb)
  3. Super Cleaner- hyper & smart (com.j2ca.callrecorder)
  4. Document Scanner - PDF Creator (com.codeword.docscann)
  5. Universal Saver Pro (com.virtualapps.universalsaver)
  6. Eagle photo editor (com.techmediapro.photoediting)
  7. Call recorder pro+ (com.chestudio.callrecorder)
  8. Extra Cleaner (com.casualplay.leadbro)
  9. Crypto Utils (com.utilsmycrypto.mainer)
  10. FixCleaner (com.cleaner.fixgate)
  11. Just In: Video Motion (com.olivia.openpuremind)
  12. com.myunique.sequencestore
  13. com.flowmysequto.yamer
  14. com.qaz.universalsaver
  15. Lucky Cleaner (com.luckyg.cleaner)
  16. Simpli Cleaner (com.scando.qukscanner)
  17. Unicc QR Scanner (com.qrdscannerratedx)

Среди дропперов есть приложение «Unicc QR Scanner», которое ранее распространяло банковский троян Coper . Также в списке есть приложение Octo, которое отключает Google Play Protect и использует виртуальные сетевые вычисления (VNC) для записи экрана устройства-жертвы. В результате злоумышленник крадет конфиденциальную информацию, такую как банковские учетные данные, адреса электронной почты и пароли, а также PIN-коды, которые впоследствии передаются на удаленный сервер.

Ранее сообщалось, что более 7 млн. Android-пользователей подверглись атаке рекламного ПО в Google Play . Приложения маскировались под программы для очистки и оптимизации Android-устройств.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!