Coper Banking Trojaans paard
De infosec-onderzoekers van Doctor Web hebben een nieuwe familie van trojans voor Android-bankieren ontdekt die zich op Colombiaanse gebruikers richten. De dreiging, genaamd de Coper Banking Trojan, maakt gebruik van een meertraps infectieketen om Android-apparaten te compromitteren en een groot aantal schadelijke activiteiten uit te voeren, voornamelijk om de bankgegevens van de gebruiker te verzamelen. Bovendien hebben de gedetecteerde Trojaanse paarden een modulaire structuur om detectie te bemoeilijken en zijn ze uitgerust met verschillende persistentiemechanismen die de dreiging beschermen tegen verschillende soorten verwijderingspogingen.
Inhoudsopgave
De aanvalsketen
De Coper Banking Trojan wordt verspreid via corrupte applicaties die zijn ontworpen om te lijken alsof het legitieme applicaties zijn die zijn vrijgegeven door Bancolombia. Een dergelijke nep-applicatie heet Bacolombia Personas en het pictogram bootst de stijl en het kleurenpalet van de officiële Bancolombia-applicaties na. In dit stadium wordt een druppelaar afgeleverd op het geïnfiltreerde Android-apparaat. Het belangrijkste doel van de dropper is het decoderen en uitvoeren van de payload in de volgende fase die zich voordoet als een webdocument met de naam 'o.html'.
De module van de tweede fase is verantwoordelijk voor het verkrijgen van functies voor toegankelijkheidsdiensten. Dit is essentieel voor een aantal van de onveilige mogelijkheden van de dreiging, omdat ze de Coper Trojan in staat stellen het besmette apparaat te besturen en gebruikersacties uit te voeren, zoals het imiteren van het indrukken van specifieke knoppen. De malware zal ook proberen de ingebouwde malwarebescherming van Google Play Protect uit te schakelen.
Tijdens de derde fase van de infectieketen wordt de hoofdmodule van de banking Trojan gedecodeerd en gestart. Om te voorkomen dat de aandacht van de gebruiker wordt getrokken, wordt deze bedreigende component op het systeem geïnstalleerd, vermomd als een toepassing genaamd Cache-plug-in. Het Trojaanse paard zal vragen om te worden toegevoegd aan de witte lijst voor batterij-optimalisatie van het apparaat, zodat het beëindiging door het systeem kan voorkomen. Bovendien zal de traktatie zichzelf instellen als de apparaatbeheerder die hem toegang geeft tot de telefoongesprekken en sms.
Kwaadaardige mogelijkheden
Nadat het pictogram van het startscherm is verwijderd, zal de Coper Trojan zijn Command-and-Control (C&C, C2)-server op de hoogte stellen en in de wachtmodus gaan. De dreiging zal periodiek, standaard eens per minuut, contact opnemen met de C&C-server voor nieuwe instructies. De aanvallers kunnen sms-berichten verzenden en onderscheppen, het scherm vergrendelen/ontgrendelen, een keylogger-routine uitvoeren, nieuwe pushmeldingen weergeven of inkomende berichten onderscheppen, applicaties verwijderen of de dreiging vertellen zichzelf te verwijderen.
De dreigingsactoren kunnen ook het gedrag van de dreiging aanpassen om beter te passen bij hun boosaardige doelen. De Trojaanse lijst met C&C-servers, gerichte applicaties, lijst met applicaties die moeten worden verwijderd of waarvan is ingesteld dat ze niet mogen worden uitgevoerd, kunnen allemaal worden aangepast.
Coper is geclassificeerd als een banktrojan en als zodanig is het belangrijkste doel het verzamelen van bankgegevens. Het overlapt de legitieme inlogschermen van de beoogde applicaties met een bijna identieke phishing-pagina. De inhoud van de neppagina wordt gedownload van de C&C en vervolgens in WebView geplaatst. Alle ingevoerde informatie wordt verwijderd en geüpload naar de hackers.
Defensieve technieken
De Coper Banking Trojan vertoont verschillende beschermende maatregelen die ervoor zorgen dat de dreiging op het apparaat blijft bestaan of dat deze onder bepaalde omstandigheden niet wordt uitgevoerd. De dreiging voert bijvoorbeeld verschillende controles uit om het land van de gebruiker te bepalen, of er een actieve simkaart op het apparaat is aangesloten of dat deze wordt uitgevoerd in een virtuele omgeving. Zelfs als een van de controles niet binnen de gespecificeerde parameters valt, zal de dreiging zichzelf beëindigen.
Een andere techniek houdt in dat het Trojaanse paard actief scant op acties die het kunnen schaden. De dreiging kan detecteren of de gebruiker probeert de Google Play Protect-pagina in de Play Store-toepassing te openen, probeert de apparaatbeheerders te wijzigen, de informatiepagina van het Trojaanse paard probeert te bekijken of deze probeert uit te sluiten van de functie Toegankelijkheidsservices. Bij het detecteren van een van deze acties, simuleert de dreiging het indrukken van de Home-knop om de gebruiker terug te brengen naar het startscherm. Een vergelijkbare methode wordt gebruikt om te voorkomen dat de gebruiker het Trojaanse paard verwijdert, omdat het simuleert dat u op de knop Terug drukt.
Hoewel de momenteel actieve voorbeelden van de dreiging alleen gericht lijken te zijn op Colombiaanse gebruikers, is er niets dat de exploitanten van de Coper Baking Trojans ervan weerhoudt om hun werking in de volgende uitgebrachte versies uit te breiden.
