Trojan Coper Banking

Descrição do Trojan Coper Banking

Os pesquisadores de Infosec descobriram uma nova família de Trojans bancários para o Android que tem como alvo os usuários colombianos. Chamado de Trojan Coper Banking, a ameaça emprega uma cadeia de infecção de vários estágios para comprometer os dispositivos Android e executar uma infinidade de atividades prejudiciais, principalmente tentando coletar as credenciais bancárias do usuário. Além disso, os Trojans detectados têm uma estrutura modular para dificultar a detecção e estão equipados com vários mecanismos de persistência que protegem a ameaça de diferentes tipos de tentativas de remoção.

A Cadeia de Ataque

O Trojan Coper Banking é espalhado por meio de aplicativos corrompidos, projetados para parecerem aplicativos legítimos, lançados pelo Bancolombia. Um desses aplicativos falsos é chamado Bacolombia Personas e seu ícone imita o estilo e a paleta de cores dos aplicativos oficiais do Bancolombia. Nesse estágio, um conta-gotas é entregue ao dispositivo Android infiltrado. O objetivo principal do dropper é descriptografar e executar a carga útil do próximo estágio que finge ser um documento da Web chamado 'o.html'.

O módulo de segundo estágio é responsável por obter as funções dos Serviços de Acessibilidade. Isso é essencial para vários recursos inseguros da ameaça, pois eles permitirão que o Trojan Coper controle o dispositivo comprometido e execute ações do usuário, tais como imitar o pressionamento de botões específicos. O malware também tentará desativar a proteção contra malware incluida no Google Play Protect.

Durante o terceiro estágio da cadeia de infecção, o módulo principal do Trojan bancário é descriptografado e iniciado. Para evitar atrair a atenção do usuário, esse componente ameaçador é instalado no sistema, disfarçado como um aplicativo chamado plugin de cache. O Trojan pedirá para ser adicionado à lista branca de otimização da bateria do dispositivo, permitindo que ele evite o encerramento do sistema. Além disso, a ameaça se definirá como o administradora do dispositivo, o que lhe dará acesso às chamadas e SMS.

Capacidades Maliciosas

Depois de remover seu ícone da tela inicial, o Trojan Coper notificará seu servidor de Comando e Controle (C&C, C2) e entrará no modo de espera. A ameaça irá periodicamente, a cada minuto por padrão, contatar o servidor C&C para novas instruções. Os invasores podem enviar e interceptar SMS, bloquear/desbloquear a tela, executar uma rotina de keylogger, exibir novas notificações ou interceptar as recebidas, desinstalar aplicativos ou dizer à ameaça para se desinstalar.

Os atores da ameaça também podem modificar o comportamento da ameaça para melhor atender a seus objetivos mal-intencionados. A lista do Trojan dos servidores de C&C, aplicativos direcionados, lista de aplicativos a serem excluídos ou aqueles configurados para serem impedidos de funcionar podem ser ajustados.

O Coper é classificado como um Trojan bancário e, como tal, seu principal objetivo é coletar credenciais bancárias. Ele sobrepõe as telas de login legítimas dos aplicativos visados com uma página de phishing quase idêntica. O conteúdo da página falsa é baixado do C&C e colocado no WebView. Qualquer informação inserida será descartada e enviada para os hackers.

Técnicas Defensivas

O Trojan Coper Banking exibe várias medidas de proteção que garantem a presença contínua da ameaça no dispositivo ou impedem a sua execução em circunstâncias específicas. Por exemplo, a ameaça faz várias digitalizações para determinar o país do usuário, se um cartão SIM ativo está conectado ao dispositivo ou se está sendo executado em um ambiente virtual. Mesmo se uma das digitalizações não estiver dentro dos parâmetros especificados, a ameaça será encerrada.

Outra técnica envolve a digitalização ativa do Trojan em busca de ações que possam prejudicá-lo. A ameaça pode detectar se o usuário está tentando abrir a página do Google Play Protect no aplicativo do Play Store, tentando alterar os administradores do dispositivo, tentando visualizar a página de informações do Trojan ou excluí-lo do recurso Serviços de Acessibilidade. Ao detectar qualquer uma dessas ações, a ameaça simulará o pressionamento do botão 'Início' para retornar o usuário à tela inicial. Um método semelhante é usado para evitar que o usuário desinstale o Trojan, uma vez que simula o pressionamento do botão 'Voltar'.

Embora as amostras atualmente ativas da ameaça pareçam estar focadas apenas nos usuários colombianos, não há nada que impeça os operadores dos Trojans Coper Baking de expandir sua operação nas próximas versões lançadas.