Банковский троян Coper

Банковский троян Coper Описание

Исследователи информационной безопасности компании «Доктор Веб» обнаружили новое семейство банковских троянцев для Android, нацеленных на колумбийских пользователей. Эта угроза, получившая название Coper Banking Trojan, использует многоступенчатую цепочку заражения для компрометации устройств Android и выполнения множества вредоносных действий, в основном пытаясь собрать банковские учетные данные пользователя. Кроме того, обнаруженные трояны имеют модульную структуру, затрудняющую обнаружение, и оснащены несколькими механизмами персистентности, которые защищают угрозу от попыток удаления различных типов.

Цепочка атак

Троян Coper Banking распространяется через поврежденные приложения, которые выглядят так, как будто они являются законными приложениями, выпущенными Bancolombia. Одно из таких поддельных приложений называется Bacolombia Personas, и его значок имитирует стиль и цветовую палитру официальных приложений Bancolombia. На этом этапе на зараженное Android-устройство доставляется дроппер. Основная цель дроппера - расшифровать и выполнить полезную нагрузку следующего этапа, которая выдает себя за веб-документ с именем 'o.html'.

Модуль второго уровня отвечает за получение функций служб доступности. Это важно для некоторых небезопасных возможностей угрозы, поскольку они позволяют трояну Coper контролировать взломанное устройство и выполнять действия пользователя, такие как имитация нажатия определенных кнопок. Вредоносная программа также попытается отключить встроенную защиту от вредоносных программ Google Play Protect.

На третьем этапе цепочки заражения расшифровывается и запускается основной модуль банковского трояна. Чтобы не привлекать внимание пользователя, этот опасный компонент устанавливается в системе под видом приложения под названием Cache plugin. Троянец попросит добавить его в белый список оптимизации батареи устройства, что позволит ему избежать прерывания работы системой. Кроме того, угощение установит себя в качестве администратора устройства, что даст ему доступ к телефонным звонкам и SMS.

Вредоносные возможности

После удаления своего значка с главного экрана троянец Coper уведомит свой командный и контрольный (C&C, C2) сервер и перейдет в режим ожидания. Угроза будет периодически, по умолчанию раз в минуту, связываться с C&C сервером для получения новых инструкций. Злоумышленники могут отправлять и перехватывать SMS, блокировать / разблокировать экран, запускать процедуру кейлоггера, отображать новые push-уведомления или перехватывать входящие, удалять приложения или сообщать угрозе, что нужно удалить себя.

Злоумышленники также могут изменить поведение угрозы, чтобы лучше соответствовать своим злонамеренным целям. Список командных серверов троянца, целевые приложения, список приложений для удаления или список приложений, запуск которых запрещен, можно изменить.

Coper классифицируется как банковский троян, и поэтому его основная цель - сбор банковских учетных данных. Он перекрывает законные экраны входа в систему целевых приложений с почти идентичной фишинговой страницей. Содержимое поддельной страницы загружается с C&C и затем помещается в WebView. Любая введенная информация будет удалена и передана хакерам.

Защитные приемы

Банковский троянец Coper демонстрирует несколько защитных мер, которые обеспечивают постоянное присутствие угрозы на устройстве или останавливают его работу при определенных обстоятельствах. Например, угроза выполняет несколько проверок, чтобы определить страну пользователя, подключена ли к устройству активная SIM-карта или выполняется ли она в виртуальной среде. Даже если одна из проверок не соответствует указанным параметрам, угроза исчезнет сама собой.

Другой метод заключается в активном сканировании трояном на предмет действий, которые могут нанести ему вред. Угроза может обнаружить, пытается ли пользователь открыть страницу Google Play Protect в приложении Play Store, пытается сменить администраторов устройства, пытается просмотреть информационную страницу троянца или исключить его из функции Accessibility Services. При обнаружении любого из этих действий угроза будет имитировать нажатие кнопки «Домой», чтобы вернуть пользователя на главный экран. Аналогичный метод используется для предотвращения удаления троянца пользователем, поскольку он имитирует нажатие кнопки «Назад».

Хотя активные в настоящее время образцы угрозы, похоже, ориентированы исключительно на колумбийских пользователей, ничто не мешает операторам троянов Coper Baking расширить свою деятельность в следующих выпущенных версиях.