Trojan bankowy Coper

Trojan bankowy Coper Opis

Badacze infosec z Doctor Web odkryli nową rodzinę trojanów bankowych dla Androida, których celem są kolumbijscy użytkownicy. Zagrożenie to, nazwane trojanem bankowym Coper, wykorzystuje wieloetapowy łańcuch infekcji w celu złamania zabezpieczeń urządzeń z systemem Android i wykonywania wielu szkodliwych działań, głównie próbując zebrać dane uwierzytelniające użytkownika bankowego. Ponadto wykryte trojany mają strukturę modułową utrudniającą wykrycie i są wyposażone w kilka mechanizmów trwałości, które chronią zagrożenie przed różnego rodzaju próbami usunięcia.

Łańcuch Ataku

Trojan Coper Banking rozprzestrzenia się za pośrednictwem uszkodzonych aplikacji zaprojektowanych tak, aby wyglądały, jakby były legalnymi aplikacjami wydanymi przez Bancolombię. Jedna z takich fałszywych aplikacji nazywa się Bacolombia Personas, a jej ikona naśladuje styl i paletę kolorów oficjalnych aplikacji Bancolombia. Na tym etapie na infiltrowane urządzenie z Androidem dostarczany jest zakraplacz. Głównym celem droppera jest odszyfrowanie i wykonanie ładunku następnego etapu, który udaje dokument sieciowy o nazwie „o.html”.

Moduł drugiego stopnia odpowiada za pozyskiwanie funkcji Usług ułatwień dostępu. Jest to niezbędne w przypadku kilku niebezpiecznych funkcji zagrożenia, ponieważ umożliwiają one trojanowi Coper kontrolowanie zaatakowanego urządzenia i wykonywanie działań użytkownika, takich jak imitowanie naciskania określonych przycisków. Złośliwe oprogramowanie będzie również próbowało wyłączyć wbudowaną ochronę przed złośliwym oprogramowaniem Google Play Protect.

Podczas trzeciego etapu łańcucha infekcji zostaje odszyfrowany i zainicjowany główny moduł trojana bankowego. Aby uniknąć przyciągania uwagi użytkownika, ten zagrażający komponent jest instalowany w systemie pod postacią aplikacji o nazwie Cache plugin. Trojan poprosi o dodanie do białej listy optymalizacji baterii urządzenia, co pozwoli mu uniknąć zakończenia działania przez system. Co więcej, uczta ustawi się jako administrator urządzenia, co da mu dostęp do połączeń telefonicznych i SMS-ów.

Złośliwe możliwości

Po usunięciu swojej ikony z ekranu głównego trojan Coper powiadomi swój serwer Command-and-Control (C&C, C2) i przejdzie w tryb oczekiwania. Zagrożenie będzie okresowo, domyślnie co minutę, kontaktować się z serwerem C&C w celu uzyskania nowych instrukcji. Osoby atakujące mogą wysyłać i przechwytywać SMS-y, blokować/odblokowywać ekran, uruchamiać procedurę keyloggera, wyświetlać nowe powiadomienia push lub przechwytywać przychodzące, odinstalowywać aplikacje lub nakazywać zagrożeniu, aby samo odinstalowało się.

Aktorzy zagrożeń mogą również modyfikować zachowanie zagrożenia, aby lepiej odpowiadało ich złowrogim celom. Lista serwerów C&C trojana, aplikacje docelowe, lista aplikacji do usunięcia lub te, które mają być blokowane przed uruchomieniem, mogą być dostosowywane.

Coper jest klasyfikowany jako trojan bankowy i jako taki jego głównym celem jest zbieranie danych uwierzytelniających bank. Nakłada na legalne ekrany logowania zaatakowanych aplikacji prawie identyczną stronę phishingową. Zawartość fałszywej strony jest pobierana z C&C, a następnie umieszczana w WebView. Wszelkie wprowadzone informacje zostaną usunięte i przesłane do hakerów.

Techniki obronne

Trojan Coper Banking udostępnia kilka środków ochronnych, które zapewniają ciągłą obecność zagrożenia na urządzeniu lub uniemożliwiają jego działanie w określonych okolicznościach. Na przykład zagrożenie wykonuje kilka testów, aby określić kraj użytkownika, czy aktywna karta SIM jest podłączona do urządzenia lub czy jest wykonywana w środowisku wirtualnym. Nawet jeśli jedno z testów nie mieści się w określonych parametrach, zagrożenie samo zniknie.

Inna technika polega na aktywnym skanowaniu trojana w poszukiwaniu działań, które mogą mu zaszkodzić. Zagrożenie może wykryć, czy użytkownik próbuje otworzyć stronę Google Play Protect w aplikacji Sklep Play, próbując zmienić administratorów urządzenia, próbując wyświetlić stronę informacyjną trojana lub wykluczyć go z funkcji usług ułatwień dostępu. Po wykryciu którejkolwiek z tych akcji zagrożenie będzie symulować naciśnięcie przycisku Home, aby powrócić do ekranu głównego. Podobna metoda służy do uniemożliwienia użytkownikowi odinstalowania trojana, ponieważ symuluje on naciśnięcie przycisku Wstecz.

Chociaż obecnie aktywne próbki tego zagrożenia wydają się być skoncentrowane wyłącznie na użytkownikach z Kolumbii, nic nie stoi na przeszkodzie, aby operatorzy trojanów Coper Baking poszerzyli swoje działanie w kolejnych wydanych wersjach.