Coper Bankacılık Truva Atı
Doctor Web'deki bilgi güvenliği araştırmacıları, Kolombiyalı kullanıcıları hedef alan yeni bir Android bankacılık Truva atı ailesini ortaya çıkardı. Coper Banking Truva Atı olarak adlandırılan tehdit, Android cihazlarını tehlikeye atmak ve çok sayıda zararlı faaliyet yürütmek için çok aşamalı bir enfeksiyon zinciri kullanır, özellikle de kullanıcının bankacılık kimlik bilgilerini toplamaya çalışır. Ek olarak, tespit edilen Truva atları, tespit etmeyi daha zor hale getirmek için modüler bir yapıya sahiptir ve tehdidi farklı türdeki kaldırma girişimlerine karşı koruyan çeşitli kalıcılık mekanizmaları ile donatılmıştır.
İçindekiler
Saldırı Zinciri
Coper Banking Truva Atı, Bancolombia tarafından yayınlanan yasal uygulamalarmış gibi görünmek üzere tasarlanmış bozuk uygulamalar aracılığıyla yayılır. Böyle bir sahte uygulamaya Bacolombia Personas denir ve simgesi, resmi Bancolombia uygulamalarının stil ve renk paletini taklit eder. Bu aşamada sızan Android cihaza bir damlalık gönderilir. Dropper'ın ana amacı, 'o.html' adlı bir Web belgesi gibi görünen sonraki aşama veri yükünün şifresini çözmek ve yürütmektir.
İkinci aşama modülü, Erişilebilirlik Hizmetleri işlevlerini almaktan sorumludur. Bu, Coper Truva Atı'nın güvenliği ihlal edilmiş cihazı kontrol etmesine ve belirli düğmelere basmayı taklit etmek gibi kullanıcı eylemlerini gerçekleştirmesine izin vereceğinden, tehdidin güvenli olmayan birçok özelliği için gereklidir. Kötü amaçlı yazılım ayrıca yerleşik kötü amaçlı yazılım koruması Google Play Protect'i devre dışı bırakmaya çalışır.
Enfeksiyon zincirinin üçüncü aşamasında, bankacılık Truva Atı'nın ana modülünün şifresi çözülür ve başlatılır. Kullanıcının dikkatini çekmemek için bu tehdit edici bileşen, önbellek eklentisi adı verilen bir uygulama kılığında sisteme yüklenir. Truva atı, sistem tarafından sonlandırılmasını önlemek için cihazın pil optimizasyonu beyaz listesine eklenmesini isteyecektir. Ayrıca, tedavi kendisini telefon görüşmelerine ve SMS'lere erişmesini sağlayan cihaz yöneticisi olarak ayarlayacaktır.
Kötü Amaçlı Yetenekler
Simgesini ana ekrandan kaldırdıktan sonra, Coper Truva Atı Komuta ve Kontrol (C&C, C2) sunucusunu bilgilendirecek ve bekleme moduna girecektir. Tehdit, varsayılan olarak dakikada bir olmak üzere periyodik olarak yeni talimatlar için C&C sunucusuyla iletişime geçecektir. Saldırganlar SMS gönderebilir ve engelleyebilir, ekranı kilitleyebilir/kilidini açabilir, bir keylogger rutini çalıştırabilir, yeni push bildirimleri görüntüleyebilir veya gelenleri engelleyebilir, uygulamaları kaldırabilir veya tehdide kendisini kaldırmasını söyleyebilir.
Tehdit aktörleri, kötü niyetli hedeflerine daha iyi uyması için tehdidin davranışını da değiştirebilir. Truva Atı'nın C&C sunucuları listesi, hedeflenen uygulamalar, silinecek uygulamalar listesi veya çalışması engellenecek olanlar ayarlanabilir.
Coper, Bankacılık Truva Atı olarak sınıflandırılır ve bu nedenle asıl amacı bankacılık kimlik bilgilerini toplamaktır. Neredeyse aynı kimlik avı sayfasıyla hedeflenen uygulamaların meşru giriş ekranlarını kaplar. Sahte sayfanın içeriği C&C'den indirilir ve ardından WebView'a yerleştirilir. Girilen tüm bilgiler hurdaya çıkarılacak ve bilgisayar korsanlarına yüklenecektir.
Savunma Teknikleri
Coper Banking Truva Atı, tehdidin cihazda devam etmesini sağlayan veya belirli koşullar altında çalışmasını durduran çeşitli koruyucu önlemler sergiler. Örneğin tehdit, kullanıcının ülkesini, cihaza aktif bir SIM kartın bağlı olup olmadığını veya sanal bir ortamda yürütülüp yürütülmediğini belirlemek için çeşitli kontroller yapar. Kontrollerden biri belirtilen parametreler dahilinde olmasa bile tehdit kendini sonlandıracaktır.
Başka bir teknik, Truva Atı'nın kendisine zarar verebilecek eylemler için aktif olarak taramasını içerir. Tehdit, kullanıcının Play Store uygulamasında Google Play Protect sayfasını açmaya mı, cihaz yöneticilerini değiştirmeye mi, Truva atının bilgi sayfasını görüntülemeye mi yoksa Erişilebilirlik Hizmetleri özelliğinden çıkarmaya mı çalıştığını tespit edebilir. Bu eylemlerden herhangi birini tespit ettikten sonra, tehdit, kullanıcıyı ana ekrana döndürmek için Ana Sayfa düğmesine basmayı simüle edecektir. Benzer bir yöntem, kullanıcının Truva Atı'nı kaldırmasını önlemek için, Geri düğmesine basmayı simüle ettiği için kullanılır.
Tehdidin şu anda aktif örnekleri yalnızca Kolombiyalı kullanıcılara odaklanmış gibi görünse de, Coper Baking Truva Atlarının operatörlerini bir sonraki yayınlanan sürümlerde operasyonlarını genişletmek için hiçbir şey durduramaz.
