Coper Banking Trojan

Coper Banking Trojan說明

Doctor Web 的信息安全研究人員發現了一個針對哥倫比亞用戶的新的 Android 銀行木馬家族。該威脅名為 Coper Banking 木馬,它採用多階段感染鏈來破壞 Android 設備並運行多種有害活動,主要是試圖收集用戶的銀行憑證。此外,檢測到的木馬俱有模塊化結構,使檢測更加困難,並配備了多種持久性機制,可以保護威脅免受不同類型的刪除嘗試。

攻擊鏈

Coper Banking 特洛伊木馬通過損壞的應用程序進行傳播,這些應用程序旨在看起來好像是 Bancolombia 發布的合法應用程序。一種此類虛假應用程序稱為 Bacolombia Personas,其圖標模仿 Bancolombia 官方應用程序的樣式和顏色托盤。在這個階段,一個 dropper 被傳送到被滲透的 Android 設備。 dropper 的主要目標是解密並執行偽裝成名為“o.html”的 Web 文檔的下一階段有效負載。

第二階段模塊負責獲取無障礙服務功能。這對於威脅的一些不安全功能至關重要,因為它們將允許 Coper Trojan 控制受感染的設備並執行用戶操作,例如模仿特定按鈕的按下。該惡意軟件還會嘗試禁用內置的惡意軟件保護 Google Play Protect。

在感染鏈的第三階段,銀行木馬的主要模塊被解密並啟動。為了避免引起用戶的注意,這個威脅組件偽裝成一個名為Cache插件的應用程序安裝在系統上。該木馬會要求將其添加到設備的電池優化白名單中,從而避免被系統終止。此外,該款待將自己設置為設備管理員,使其可以訪問電話和短信。

惡意能力

從主屏幕移除其圖標後,Coper Trojan 將通知其命令和控制(C&C,C2)服務器並進入等待模式。威脅將定期(默認情況下每分鐘一次)聯繫 C&C 服務器以獲取新指令。攻擊者可以發送和攔截短信、鎖定/解鎖屏幕、運行鍵盤記錄程序、顯示新的推送通知或攔截傳入的通知、卸載應用程序或告訴威脅自行卸載。

威脅行為者還可以修改威脅的行為,以更好地適應其惡意目標。木馬的C&C服務器列表、目標應用程序、要刪除的應用程序列表或設置為阻止運行的應用程序都可以調整。

Coper 被歸類為銀行木馬,因此其主要目標是收集銀行憑證。它用幾乎相同的網絡釣魚頁面覆蓋目標應用程序的合法登錄屏幕。假頁面的內容從C&C下載,然後放到WebView中。任何輸入的信息都將被報廢並上傳給黑客。

防守技巧

Coper Banking Trojan 採取了多種保護措施,可確保威脅繼續存在於設備上或在特定情況下阻止其運行。例如,威脅會進行多項檢查以確定用戶所在的國家/地區,是否有活動的 SIM 卡連接到設備,或者是否正在虛擬環境中執行。即使其中一項檢查不在指定的參數範圍內,威脅也會自行終止。

另一種技術涉及特洛伊木馬主動掃描可能對其造成損害的操作。該威脅可以檢測到用戶是否嘗試在 Play 商店應用程序中打開 Google Play 保護頁面、嘗試更改設備管理員、嘗試查看木馬的信息頁面或將其從輔助功能服務功能中排除。在檢測到這些操作中的任何一個時,威脅將模擬按下主頁按鈕以將用戶返回到主屏幕。類似的方法用於防止用戶卸載木馬,因為它模擬點擊後退按鈕。

儘管當前活躍的威脅樣本似乎只針對哥倫比亞用戶,但沒有什麼能阻止 Coper Baking 木馬的操作者在下一個發布版本中擴展其操作。