코퍼 뱅킹 트로이목마

코퍼 뱅킹 트로이목마 설명

Doctor Web의 infosec 연구원은 콜롬비아 사용자를 대상으로 하는 새로운 Android 뱅킹 트로이 목마 제품군을 발견했습니다. Coper Banking 트로이 목마라는 이 위협은 다단계 감염 체인을 사용하여 Android 기기를 손상시키고 주로 사용자의 은행 자격 증명을 수집하려고 시도하는 다양한 유해 활동을 실행합니다. 또한 탐지된 트로이 목마는 탐지를 더 어렵게 만드는 모듈식 구조를 가지고 있으며 다양한 유형의 제거 시도로부터 위협을 보호하는 여러 지속성 메커니즘을 갖추고 있습니다.

공격 사슬

Coper Banking 트로이 목마는 Bancolombia에서 출시한 합법적인 응용 프로그램인 것처럼 보이도록 설계된 손상된 응용 프로그램을 통해 확산됩니다. 이러한 가짜 응용 프로그램 중 하나는 Bacolombia Personas라고 하며 해당 아이콘은 공식 Bancolombia 응용 프로그램의 스타일과 색상 팔레트를 모방합니다. 이 단계에서 침투한 안드로이드 기기에 드로퍼를 전달한다. 드로퍼의 주요 목표는 'o.html'이라는 웹 문서인 것처럼 가장하는 다음 단계 페이로드를 해독하고 실행하는 것입니다.

두 번째 단계 모듈은 접근성 서비스 기능을 가져오는 역할을 합니다. 이는 Coper 트로이 목마가 손상된 장치를 제어하고 특정 버튼 누르기를 모방하는 것과 같은 사용자 작업을 수행할 수 있도록 하기 때문에 위협의 몇 가지 안전하지 않은 기능에 필수적입니다. 멀웨어는 또한 내장된 멀웨어 보호 Google Play 프로텍트를 비활성화하려고 시도합니다.

감염 체인의 세 번째 단계에서 뱅킹 트로이 목마의 주요 모듈이 해독되고 시작됩니다. 사용자의 주의를 끌지 않기 위해 이 위협적인 구성 요소는 Cache 플러그인이라는 응용 프로그램으로 위장하여 시스템에 설치됩니다. 트로이 목마는 시스템에 의한 종료를 피하기 위해 장치의 배터리 최적화 화이트리스트에 추가하도록 요청합니다. 또한, 치료는 전화 및 SMS에 대한 액세스 권한을 부여하는 장치 관리자로 설정됩니다.

악성 기능

Coper Trojan은 홈 화면에서 아이콘을 제거한 후 Command-and-Control(C&C, C2) 서버에 알리고 대기 모드에 들어갑니다. 위협 요소는 기본적으로 1분에 한 번씩 주기적으로 C&C 서버에 접속하여 새로운 지침을 제공합니다. 공격자는 SMS 전송 및 가로채기, 화면 잠금/잠금 해제, 키로거 루틴 실행, 새로운 푸시 알림 표시 또는 수신 알림 가로채기, 애플리케이션 제거 또는 위협에 스스로 제거하도록 지시할 수 있습니다.

위협 행위자는 또한 악의적인 목표에 더 잘 맞도록 위협의 행동을 수정할 수 있습니다. 트로이 목마의 C&C 서버 목록, 대상 응용 프로그램, 삭제할 응용 프로그램 목록 또는 실행을 방지하도록 설정된 응용 프로그램 목록을 모두 조정할 수 있습니다.

Coper는 뱅킹 트로이목마로 분류되므로 주요 목표는 뱅킹 자격 증명을 수집하는 것입니다. 거의 동일한 피싱 페이지로 대상 응용 프로그램의 합법적인 로그인 화면을 오버레이합니다. 가짜 페이지의 내용은 C&C에서 다운로드되어 WebView에 배치됩니다. 입력된 모든 정보는 스크랩되어 해커에게 업로드됩니다.

방어 기술

Coper Banking 트로이 목마는 장치에 위협이 계속 존재하도록 하거나 특정 상황에서 실행되지 않도록 하는 몇 가지 보호 조치를 보여줍니다. 예를 들어 위협 요소는 사용자의 국가, 활성 SIM 카드가 장치에 연결되어 있는지 또는 가상 환경에서 실행되고 있는지 확인하기 위해 여러 번 확인합니다. 검사 중 하나가 지정된 매개변수 내에 있지 않더라도 위협은 자체적으로 종료됩니다.

또 다른 기술은 트로이 목마를 해칠 수 있는 작업을 적극적으로 검색하는 것입니다. 위협 요소는 사용자가 Play 스토어 애플리케이션에서 Google Play 프로텍트 페이지를 열려고 시도하는지, 장치 관리자를 변경하려고 시도하는지, 트로이 목마 정보 페이지를 보려고 시도하는지 또는 접근성 서비스 기능에서 이를 제외하는지 탐지할 수 있습니다. 이러한 작업을 감지하면 위협 요소는 홈 버튼을 눌러 사용자를 홈 화면으로 되돌리는 것을 시뮬레이션합니다. 유사한 방법이 뒤로 버튼 누르기를 시뮬레이션할 때 사용자가 트로이 목마를 제거하지 못하도록 하는 데 사용됩니다.

현재 활성화된 위협 샘플은 콜롬비아 사용자에게만 집중되어 있는 것처럼 보이지만 Coper Baking 트로이 목마 운영자가 다음 릴리스 버전에서 작업을 확장하는 것을 막을 수는 없습니다.