Trojan bancario Coper
I ricercatori di infosec di Doctor Web hanno scoperto una nuova famiglia di Trojan bancari per Android che prende di mira gli utenti colombiani. Chiamata Coper Banking Trojan, la minaccia utilizza una catena di infezione a più stadi per compromettere i dispositivi Android ed eseguire una moltitudine di attività dannose, principalmente cercando di raccogliere le credenziali bancarie dell'utente. Inoltre, i Trojan rilevati hanno una struttura modulare per rendere più difficile il rilevamento e sono dotati di diversi meccanismi di persistenza che proteggono la minaccia da diversi tipi di tentativi di rimozione.
Sommario
La catena dell’attacco
Il Coper Banking Trojan si diffonde tramite applicazioni corrotte progettate per apparire come applicazioni legittime rilasciate da Bancolombia. Una di queste false applicazioni si chiama Bacolombia Personas e la sua icona imita lo stile e la tavolozza dei colori delle applicazioni ufficiali Bancolombia. In questa fase, un contagocce viene consegnato al dispositivo Android infiltrato. L'obiettivo principale del dropper è decifrare ed eseguire il payload della fase successiva che finge di essere un documento Web denominato "o.html".
Il modulo di seconda fase è responsabile dell'ottenimento delle funzioni dei servizi di accessibilità. Ciò è essenziale per molte delle funzionalità non sicure della minaccia, in quanto consentiranno al Coper Trojan di controllare il dispositivo compromesso ed eseguire azioni dell'utente, come imitare la pressione di pulsanti specifici. Il malware tenterà anche di disabilitare la protezione antimalware integrata Google Play Protect.
Durante la terza fase della catena dell'infezione, il modulo principale del Trojan bancario viene decrittografato e avviato. Per evitare di attirare l'attenzione dell'utente, questo componente minaccioso viene installato sul sistema camuffato da un'applicazione chiamata plugin Cache. Il Trojan chiederà di essere aggiunto alla white-list di ottimizzazione della batteria del dispositivo consentendogli di evitare la terminazione da parte del sistema. Inoltre, il trattamento si imposterà come amministratore del dispositivo che gli darà accesso alle telefonate e agli SMS.
Funzionalità dannose
Dopo aver rimosso la sua icona dalla schermata principale, il Trojan Coper avviserà il suo server Command-and-Control (C&C, C2) ed entrerà in modalità di attesa. La minaccia contatterà periodicamente, una volta ogni minuto per impostazione predefinita, il server C&C per nuove istruzioni. Gli aggressori possono inviare e intercettare SMS, bloccare/sbloccare lo schermo, eseguire una routine di keylogger, visualizzare nuove notifiche push o intercettare quelle in arrivo, disinstallare applicazioni o dire alla minaccia di disinstallarsi.
Gli attori della minaccia possono anche modificare il comportamento della minaccia per soddisfare meglio i loro obiettivi malvagi. È possibile modificare l'elenco dei server C&C del Trojan, le applicazioni mirate, l'elenco delle applicazioni da eliminare o quelle impostate per impedirne l'esecuzione.
Coper è classificato come Trojan bancario e, in quanto tale, il suo obiettivo principale è raccogliere credenziali bancarie. Sovrappone le schermate di accesso legittime delle applicazioni mirate con una pagina di phishing quasi identica. I contenuti della pagina falsa vengono scaricati da C&C e quindi inseriti in WebView. Tutte le informazioni inserite verranno eliminate e caricate sugli hacker.
Tecniche Difensive
Il Coper Banking Trojan presenta diverse misure di protezione che garantiscono la presenza continua della minaccia sul dispositivo o ne impediscono l'esecuzione in circostanze specifiche. Ad esempio, la minaccia effettua diversi controlli per determinare il paese dell'utente, se una scheda SIM attiva è collegata al dispositivo o se viene eseguita in un ambiente virtuale. Anche se uno dei controlli non rientra nei parametri specificati, la minaccia si interromperà da sola.
Un'altra tecnica prevede la scansione attiva dei trojan alla ricerca di azioni che potrebbero danneggiarlo. La minaccia è in grado di rilevare se l'utente sta tentando di aprire la pagina di Google Play Protect nell'applicazione Play Store, di modificare gli amministratori del dispositivo, di visualizzare la pagina di informazioni del Trojan o di escluderlo dalla funzione Servizi di accessibilità. Al rilevamento di una di queste azioni, la minaccia simulerà la pressione del pulsante Home per riportare l'utente alla schermata principale. Un metodo simile viene utilizzato per impedire all'utente di disinstallare il Trojan poiché simula la pressione del pulsante Indietro.
Sebbene i campioni attualmente attivi della minaccia sembrino concentrarsi esclusivamente sugli utenti colombiani, non c'è nulla che impedisca agli operatori dei Coper Baking Trojan di espandere la loro operazione nelle prossime versioni rilasciate.
