Coper Banking Trojan

Coper Banking Trojan Beskrivelse

Infosec-forskerne på Doctor Web har afsløret en ny familie af Android-bank-trojanske heste, der er målrettet mod colombianske brugere. Opkaldt Coper Banking Trojan, truslen anvender en infektionskæde i flere trin for at kompromittere Android-enheder og køre en lang række skadelige aktiviteter, primært forsøger at indsamle brugerens bankoplysninger. Derudover har de opdagede trojanske heste en modulær struktur, der gør detektering vanskeligere og er udstyret med flere vedholdenhedsmekanismer, der beskytter truslen mod forskellige typer fjernelsesforsøg.

Angrebskæden

Coper Banking Trojan spredes via beskadigede applikationer designet til at fremstå som om de er legitime applikationer frigivet af Bancolombia. En sådan falsk applikation kaldes Bacolombia Personas og dens ikon efterligner stilen og farvepaletten i de officielle Bancolombia-applikationer. På dette tidspunkt leveres en dropper til den infiltrerede Android-enhed. Hovedmålet med dropper er at dekryptere og udføre den næste fasen nyttelast, der foregiver at være et webdokument ved navn 'o.html.'

Andet-trins modulet er ansvarlig for at opnå funktioner til tilgængelighedstjenester. Dette er vigtigt for flere af de usikre kapaciteter i truslen, da de giver Coper Trojan mulighed for at kontrollere den kompromitterede enhed og udføre brugerhandlinger, såsom at imitere at trykke på specifikke knapper. Malwaren forsøger også at deaktivere den indbyggede malware-beskyttelse Google Play Protect.

I den tredje fase af infektionskæden dekrypteres og initieres hovedmodulet i bank-trojanen. For at undgå at tiltrække brugerens opmærksomhed installeres denne truende komponent på systemet forklædt som et program kaldet Cache-plugin. Trojanen beder om at blive føjet til enhedens hvidliste til batterioptimering, så den kan undgå afslutning fra systemet. Desuden vil behandlingen indstille sig som enhedsadministratoren, der giver den adgang til telefonopkald og SMS.

Ondsindede kapaciteter

Efter at have fjernet ikonet fra startskærmen, underretter Coper Trojan derefter sin Command-and-Control (C&C, C2) server og går i ventetilstand. Truslen kontakter med jævne mellemrum en gang hvert minut som standard C & C-serveren for at få nye instruktioner. Angriberne kan sende og opfange SMS, låse / låse skærmen op, køre en keylogger-rutine, vise nye push-underretninger eller opfange indkommende, afinstallere applikationer eller fortælle truslen om at afinstallere sig selv.

Trusselaktørerne kan også ændre truslens opførsel for bedre at passe til deres ondskabsfulde mål. Trojans liste over C & C-servere, målrettede applikationer, liste over applikationer, der skal slettes, eller dem, der er indstillet til at forhindres i at køre, kan alle justeres.

Coper er klassificeret som en banktrojan, og som sådan er dets hovedmål at indsamle bankoplysninger. Det overlapper de legitime loginskærme for de målrettede applikationer med en næsten identisk phishing-side. Indholdet af den falske side downloades fra C&C og placeres derefter i WebView. Alle indtastede oplysninger skrottes og uploades til hackerne.

Defensive teknikker

Coper Banking Trojan udviser adskillige beskyttelsesforanstaltninger, der sikrer den fortsatte tilstedeværelse af truslen på enheden eller forhindrer den i at køre under specifikke omstændigheder. For eksempel foretager truslen flere kontroller for at bestemme brugerens land, hvis et aktivt SIM-kort er forbundet til enheden, eller hvis det udføres i et virtuelt miljø. Selvom en af kontrollerne ikke er inden for de angivne parametre, vil truslen afslutte sig selv.

En anden teknik involverer Trojan-scanning aktivt efter handlinger, der kan skade den. Truslen kan registrere, om brugeren forsøger at åbne Google Play Protect-siden i Play Butik-applikationen, forsøger at ændre enhedsadministratorer, forsøger at se Trojans informationsside eller udelukke den fra funktionen Tilgængelighedstjenester. Når en af disse handlinger opdages, simulerer truslen at trykke på knappen Hjem for at returnere brugeren til startskærmen. En lignende metode bruges til at forhindre brugeren i at afinstallere Trojan, da den simulerer at trykke på Tilbage-knappen.

Selvom de aktuelt aktive prøver af truslen ser ud til at være fokuseret udelukkende på colombianske brugere, er der intet, der stopper operatørerne af Coper Baking Trojans for at udvide deres operation i de næste frigivne versioner.