Coper Banking Trojan

Coper Banking Trojan Beskrivning

Infosec-forskarna på Doctor Web har upptäckt en ny familj av Android-banktrojaner som riktar sig till colombianska användare. Hotet heter Coper Banking Trojan och använder en infektionskedja i flera steg för att kompromissa med Android-enheter och driva en mängd skadliga aktiviteter, främst försöker samla in användarens bankuppgifter. Dessutom har de upptäckta trojanerna en modulstruktur som gör detekteringen svårare och är utrustade med flera uthållighetsmekanismer som skyddar hotet från olika typer av borttagningsförsök.

Attackkedjan

Coper Banking Trojan sprids via skadade applikationer som är utformade för att se ut som om de är legitima applikationer som släppts av Bancolombia. En sådan falsk applikation kallas Bacolombia Personas och dess ikon efterliknar stilen och färgpallen i de officiella Bancolombia-applikationerna. I detta skede levereras en dropper till den infiltrerade Android-enheten. Huvudmålet för dropparen är att dekryptera och utföra nästa stegs nyttolast som låtsas vara ett webbdokument med namnet 'o.html'.

Den andra etappen är ansvarig för att erhålla funktioner för tillgänglighetstjänster. Detta är viktigt för flera av de osäkra funktionerna i hotet, eftersom de gör det möjligt för Coper Trojan att kontrollera den komprometterade enheten och utföra användaråtgärder, som att imitera att man trycker på specifika knappar. Skadlig programvara försöker också inaktivera det inbyggda skyddet mot skadlig kod Google Play Protect.

Under den tredje etappen av infektionskedjan dekrypteras och initieras huvudmodulen för bank-trojanen. För att undvika att locka användarens uppmärksamhet installeras denna hotande komponent på systemet förklädd till ett program som kallas Cache-plugin. Trojanen kommer att be om att läggas till enhetens vitlista för batterioptimering så att den kan undvika att systemet avslutas. Dessutom kommer behandlingen att ställa in sig själv som enhetsadministratören som ger åtkomst till telefonsamtal och SMS.

Skadliga funktioner

Efter att ha tagit bort dess ikon från hemskärmen meddelar Coper Trojan sin Command-and-Control (C&C, C2) -server och går in i vänteläge. Hotet kommer regelbundet, en gång i minuten, att kontakta C&C-servern för nya instruktioner. Angriparna kan skicka och fånga SMS, låsa / låsa upp skärmen, köra en keylogger-rutin, visa nya push-aviseringar eller fånga inkommande, avinstallera applikationer eller berätta hotet att avinstallera sig själv.

Hotaktörerna kan också ändra hotet för att bättre passa deras illasinnade mål. Trojans lista över C & C-servrar, riktade applikationer, lista över applikationer som ska tas bort eller de som är inställda för att förhindras från att köras kan alla justeras.

Coper klassificeras som en banktrojan och som sådan är huvudmålet att samla in bankuppgifter. Det ligger över de legitima inloggningsskärmarna för de riktade applikationerna med en nästan identisk nätfiske-sida. Innehållet på den falska sidan laddas ner från C&C och placeras sedan i WebView. All inmatad information skrotas och laddas upp till hackarna.

Defensiva tekniker

Coper Banking Trojan uppvisar flera skyddsåtgärder som säkerställer att hotet kvarstår på enheten eller hindrar den från att köras under specifika omständigheter. Hotet gör till exempel flera kontroller för att bestämma användarens land, om ett aktivt SIM-kort är anslutet till enheten eller om det körs i en virtuell miljö. Även om en av kontrollerna inte ligger inom de angivna parametrarna kommer hotet att upphöra av sig själv.

En annan teknik innebär att Trojan aktivt söker efter åtgärder som kan skada den. Hotet kan upptäcka om användaren försöker öppna Google Play Protect-sidan i Play Store-applikationen, försöker ändra enhetsadministratörer, försöker visa Trojans informationssida eller utesluta den från funktionen Accessibility Services. När någon av dessa åtgärder upptäcks simulerar hotet att trycka på hemknappen för att återvända användaren till startskärmen. En liknande metod används för att förhindra att användaren avinstallerar Trojan eftersom den simulerar att trycka på Tillbaka-knappen.

Även om de för närvarande aktiva proverna av hotet verkar vara inriktade på enbart columbianska användare finns det inget som hindrar operatörerna av Coper Baking Trojans för att utöka sin verksamhet i nästa versioner.