Coper Banking-Trojaner
Die infosec-Forscher von Doctor Web haben eine neue Familie von Android-Banking-Trojanern entdeckt, die auf kolumbianische Nutzer abzielt. Die Bedrohung mit dem Namen Coper Banking Trojan verwendet eine mehrstufige Infektionskette, um Android-Geräte zu kompromittieren und eine Vielzahl schädlicher Aktivitäten auszuführen, wobei hauptsächlich versucht wird, die Bankdaten des Benutzers zu sammeln. Darüber hinaus sind die erkannten Trojaner modular aufgebaut, um die Erkennung zu erschweren, und sind mit mehreren Persistenzmechanismen ausgestattet, die die Bedrohung vor verschiedenen Arten von Entfernungsversuchen schützen.
Inhaltsverzeichnis
Die Angriffskette
Der Coper Banking-Trojaner wird über beschädigte Anwendungen verbreitet, die so aussehen, als wären es legitime Anwendungen, die von Bancolombia veröffentlicht wurden. Eine solche gefälschte Anwendung heißt Bacolombia Personas und ihr Symbol ahmt den Stil und die Farbpalette der offiziellen Bancolombia-Anwendungen nach. In diesem Stadium wird einen Dropper an das infiltrierte Android-Gerät geliefert. Das Hauptziel des Droppers besteht darin, die Nutzlast der nächsten Stufe zu entschlüsseln und auszuführen, die vorgibt, ein Webdokument namens 'o.html' zu sein.
Das Modul der zweiten Stufe ist für den Erhalt der Funktionen der Accessibility Services verantwortlich. Dies ist für einige der unsicheren Fähigkeiten der Bedrohung von entscheidender Bedeutung, da sie es dem Coper-Trojaner ermöglichen, das kompromittierte Gerät zu kontrollieren und Benutzeraktionen auszuführen, z. B. das Drücken bestimmter Tasten zu imitieren. Die Malware versucht auch, den integrierten Malware-Schutz Google Play Protect zu deaktivieren.
In der dritten Stufe der Infektionskette wird das Hauptmodul des Banking-Trojaners entschlüsselt und initiiert. Um die Aufmerksamkeit des Benutzers nicht zu erregen, wird diese bedrohliche Komponente auf dem System als Anwendung namens Cache-Plugin getarnt installiert. Der Trojaner fordert Sie auf, zur Whitelist der Batterieoptimierung des Geräts hinzugefügt zu werden, um eine Beendigung durch das System zu vermeiden. Darüber hinaus wird sich der Leckerbissen als Geräteadministrator festlegen, der ihm Zugriff auf die Telefonanrufe und SMS gewährt.
Schädliche Fähigkeiten
Nachdem das Symbol vom Startbildschirm entfernt wurde, benachrichtigt der Coper-Trojaner seinen Command-and-Control-Server (C&C, C2) und wechselt in den Wartemodus. Die Bedrohung kontaktiert den C&C-Server regelmäßig, standardmäßig einmal pro Minute, um neue Anweisungen zu erhalten. Die Angreifer können SMS senden und abfangen, den Bildschirm sperren/entsperren, eine Keylogger-Routine ausführen, neue Push-Benachrichtigungen anzeigen oder eingehende abfangen, Anwendungen deinstallieren oder die Bedrohung anweisen, sich selbst zu deinstallieren.
Die Bedrohungsakteure können auch das Verhalten der Bedrohung ändern, um ihren bösartigen Zielen besser gerecht zu werden. Die Liste der C&C-Server des Trojaners, der Zielanwendungen, der Liste der zu löschenden Anwendungen oder derer, die an der Ausführung gehindert werden sollen, können alle angepasst werden.
Coper wird als Banking-Trojaner eingestuft und hat als solcher das Hauptziel, Bankdaten zu sammeln. Es überlagert die legitimen Anmeldebildschirme der Zielanwendungen mit einer nahezu identischen Phishing-Seite. Der Inhalt der gefälschten Seite wird vom C&C heruntergeladen und dann in WebView platziert. Alle eingegebenen Informationen werden verschrottet und an die Hacker hochgeladen.
Abwehrtechniken
Der Coper Banking Trojaner weist mehrere Schutzmaßnahmen auf, die die anhaltende Präsenz der Bedrohung auf dem Gerät sicherstellen oder unter bestimmten Umständen deren Ausführung verhindern. Die Bedrohung führt beispielsweise mehrere Prüfungen durch, um das Land des Benutzers zu ermitteln, ob eine aktive SIM-Karte mit dem Gerät verbunden ist oder ob sie in einer virtuellen Umgebung ausgeführt wird. Auch wenn eine der Prüfungen nicht innerhalb der angegebenen Parameter liegt, wird die Bedrohung von selbst beendet.
Eine andere Technik besteht darin, dass der Trojaner aktiv nach Aktionen sucht, die ihm schaden könnten. Die Bedrohung kann erkennen, ob der Benutzer versucht, die Google Play Protect-Seite in der Play Store-Anwendung zu öffnen, versucht, die Geräteadministratoren zu ändern, versucht, die Informationsseite des Trojaners anzuzeigen oder ihn von der Funktion „Accessibility Services“ auszuschließen. Wenn eine dieser Aktionen erkannt wird, simuliert die Bedrohung das Drücken der Home-Taste, um den Benutzer zum Startbildschirm zurückzubringen. Eine ähnliche Methode wird verwendet, um zu verhindern, dass der Benutzer den Trojaner deinstalliert, da er das Drücken der Zurück-Taste simuliert.
Obwohl sich die derzeit aktiven Beispiele der Bedrohung anscheinend ausschließlich auf kolumbianische Benutzer konzentrieren, hindert die Betreiber des Coper Baking Trojans nichts daran, ihre Operation in den nächsten veröffentlichten Versionen auszuweiten.
