Coper Banking Trojan

Coper Banking Trojan说明

Doctor Web 的信息安全研究人员发现了一个针对哥伦比亚用户的新的 Android 银行木马家族。该威胁名为 Coper Banking 木马,它采用多阶段感染链来破坏 Android 设备并运行多种有害活动,主要是试图收集用户的银行凭证。此外,检测到的木马具有模块化结构,使检测更加困难,并配备了多种持久性机制,可以保护威胁免受不同类型的删除尝试。

攻击链

Coper Banking 特洛伊木马通过损坏的应用程序进行传播,这些应用程序旨在看起来好像是 Bancolombia 发布的合法应用程序。一种此类虚假应用程序称为 Bacolombia Personas,其图标模仿 Bancolombia 官方应用程序的样式和颜色托盘。在这个阶段,一个 dropper 被传送到被渗透的 Android 设备。 dropper 的主要目标是解密并执行伪装成名为“o.html”的 Web 文档的下一阶段有效负载。

第二阶段模块负责获取无障碍服务功能。这对于威胁的一些不安全功能至关重要,因为它们将允许 Coper Trojan 控制受感染的设备并执行用户操作,例如模仿特定按钮的按下。该恶意软件还会尝试禁用内置的恶意软件保护 Google Play Protect。

在感染链的第三阶段,银行木马的主要模块被解密并启动。为了避免引起用户的注意,这个威胁组件伪装成一个名为Cache插件的应用程序安装在系统上。该木马会要求将其添加到设备的电池优化白名单中,从而避免被系统终止。此外,该款待将自己设置为设备管理员,使其可以访问电话和短信。

恶意能力

从主屏幕移除其图标后,Coper Trojan 将通知其命令和控制(C&C,C2)服务器并进入等待模式。威胁将定期(默认情况下每分钟一次)联系 C&C 服务器以获取新指令。攻击者可以发送和拦截短信、锁定/解锁屏幕、运行键盘记录程序、显示新的推送通知或拦截传入的通知、卸载应用程序或告诉威胁自行卸载。

威胁行为者还可以修改威胁的行为,以更好地适应其恶意目标。木马的C&C服务器列表、目标应用程序、要删除的应用程序列表或设置为阻止运行的应用程序都可以调整。

Coper 被归类为银行木马,因此其主要目标是收集银行凭证。它用几乎相同的网络钓鱼页面覆盖目标应用程序的合法登录屏幕。假页面的内容从C&C下载,然后放到WebView中。任何输入的信息都将被报废并上传给黑客。

防守技巧

Coper Banking Trojan 采取了多种保护措施,可确保威胁继续存在于设备上或在特定情况下阻止其运行。例如,威胁会进行多项检查以确定用户所在的国家/地区,是否有活动的 SIM 卡连接到设备,或者是否正在虚拟环境中执行。即使其中一项检查不在指定的参数范围内,威胁也会自行终止。

另一种技术涉及特洛伊木马主动扫描可能对其造成损害的操作。该威胁可以检测到用户是否尝试在 Play 商店应用程序中打开 Google Play 保护页面、尝试更改设备管理员、尝试查看木马的信息页面或将其从无障碍服务功能中排除。在检测到这些操作中的任何一个时,威胁将模拟按下主页按钮以将用户返回到主屏幕。类似的方法用于防止用户卸载木马,因为它模拟点击后退按钮。

尽管当前活跃的威胁样本似乎只针对哥伦比亚用户,但没有什么能阻止 Coper Baking 木马的操作者在下一个发布版本中扩展其操作。