DawDropper 应用程序伪装成生产力和实用程序应用程序，例如文档扫描仪、VPN 服务、二维码阅读器和通话记录器。所有这些有问题的应用程序都已从应用程序市场中删除。

“在 2021 年下半年，我们发现了一个恶意活动，该活动使用了一种新的 dropper 变体，我们称之为 DawDropper。DawDropper 以 Just In: Video Motion、Document Scanner Pro、Conquer Darkness、simpli Cleaner 和 Unicc QR Scanner 等多个 Android 应用为幌子，使用第三方云服务 Firebase Realtime Database 来逃避检测并动态获取有效载荷下载地址。” 阅读趋势科技发布的报告。“它还在 GitHub 上托管恶意有效载荷。截至报告时，这些恶意应用程序已不再在 Google Play 商店中提供。”

DawDropper 应用被发现投放了四个银行木马家族，包括 Octo、Hydra、Ermac和TeaBot。所有恶意软件都使用 Firebase 实时数据库（一种用于存储数据的合法云托管 NoSQL 数据库）作为命令和控制 (C&C) 服务器，并在 GitHub 上托管恶意负载。

趋势科技还发现了另一个被追踪为Clast82的 dropper ，由 CheckPoint Research 于 2021 年 3 月发现。DawDropper 和 Clast82 都使用 Firebase 实时数据库作为 C&C 服务器。

研究人员指出，银行滴管采用自己的分发和安装技术。专家们观察到今年早些时候推出的银行投递器具有硬编码的有效载荷下载地址。同时，最近推出的银行投递器旨在隐藏实际有效载荷的下载地址，有时使用第三方服务作为其 C&C 服务器，并使用 GitHub 等第三方服务托管恶意有效载荷。

“网络犯罪分子一直在寻找逃避检测和感染尽可能多设备的方法。在半年的时间里，我们已经看到银行木马如何改进其技术以避免被检测到，例如将恶意负载隐藏在 dropper 中。随着越来越多的银行木马通过 DaaS 提供，恶意行为者将有一种更简单、更经济高效的方式来分发伪装成合法应用程序的恶意软件。我们预计这种趋势将持续下去，未来更多的银行木马将分布在数字分发服务上。”