Troyano bancario Coper

Troyano bancario Coper Descripción

Los investigadores de infosec de Doctor Web han descubierto una nueva familia de troyanos bancarios Android que se dirige a los usuarios colombianos. Nombrado el troyano Coper Banking, la amenaza emplea una cadena de infección de múltiples etapas para comprometer los dispositivos Android y ejecutar una multitud de actividades dañinas, principalmente tratando de recopilar las credenciales bancarias del usuario. Además, los troyanos detectados tienen una estructura modular para dificultar la detección y están equipados con varios mecanismos de persistencia que protegen la amenaza de diferentes tipos de intentos de eliminación.

La cadena de ataque

El troyano Coper Banking se propaga a través de aplicaciones corruptas diseñadas para parecer aplicaciones legítimas lanzadas por Bancolombia. Una de esas aplicaciones falsas se llama Bacolombia Personas y su icono imita el estilo y la paleta de colores de las aplicaciones oficiales de Bancolombia. En esta etapa, se entrega un cuentagotas al dispositivo Android infiltrado. El objetivo principal del cuentagotas es descifrar y ejecutar la carga útil de la siguiente etapa que pretende ser un documento web llamado 'o.html'.

El módulo de segunda etapa es responsable de obtener las funciones de los Servicios de Accesibilidad. Esto es esencial para varias de las capacidades inseguras de la amenaza, ya que permitirán al troyano Coper controlar el dispositivo comprometido y realizar acciones del usuario, como imitar la presión de botones específicos. El malware también intentará desactivar la protección integrada contra malware Google Play Protect.

Durante la tercera etapa de la cadena de infección, se desencripta e inicia el módulo principal del troyano bancario. Para evitar llamar la atención del usuario, este componente amenazante se instala en el sistema disfrazado de una aplicación llamada Cache plugin. El troyano solicitará que lo agreguen a la lista blanca de optimización de la batería del dispositivo, lo que le permitirá evitar que el sistema lo cancele. Además, la golosina se configurará a sí misma como el administrador del dispositivo que le da acceso a las llamadas telefónicas y SMS.

Capacidades maliciosas

Después de eliminar su icono de la pantalla de inicio, el troyano Coper notificará a su servidor de Comando y Control (C&C, C2) y entrará en modo de espera. La amenaza se pondrá en contacto periódicamente, una vez por minuto de forma predeterminada, con el servidor de C&C para obtener nuevas instrucciones. Los atacantes pueden enviar e interceptar SMS, bloquear / desbloquear la pantalla, ejecutar una rutina de keylogger, mostrar nuevas notificaciones push o interceptar las entrantes, desinstalar aplicaciones o decirle a la amenaza que se desinstale.

Los actores de la amenaza también pueden modificar el comportamiento de la amenaza para adaptarse mejor a sus objetivos malvados. Se puede ajustar la lista del troyano de servidores C&C, aplicaciones específicas, lista de aplicaciones para eliminar o aquellas configuradas para que no se ejecuten.

Coper está clasificado como un troyano bancario y, como tal, su principal objetivo es recopilar credenciales bancarias. Superpone las pantallas de inicio de sesión legítimas de las aplicaciones específicas con una página de phishing casi idéntica. El contenido de la página falsa se descarga del C&C y luego se coloca en WebView. Cualquier información ingresada será eliminada y cargada a los piratas informáticos.

Técnicas defensivas

El troyano Coper Banking exhibe varias medidas de protección que garantizan la presencia continua de la amenaza en el dispositivo o impiden que se ejecute en circunstancias específicas. Por ejemplo, la amenaza realiza varias verificaciones para determinar el país del usuario, si una tarjeta SIM activa está conectada al dispositivo o si se está ejecutando en un entorno virtual. Incluso si una de las comprobaciones no se encuentra dentro de los parámetros especificados, la amenaza terminará sola.

Otra técnica consiste en que el troyano escanee activamente en busca de acciones que puedan dañarlo. La amenaza puede detectar si el usuario está intentando abrir la página Google Play Protect en la aplicación Play Store, intentando cambiar los administradores del dispositivo, intentando ver la página de información del troyano o excluirlo de la función Servicios de accesibilidad. Al detectar cualquiera de esas acciones, la amenaza simulará presionar el botón Inicio para devolver al usuario a la pantalla de inicio. Se utiliza un método similar para evitar que el usuario desinstale el troyano, ya que simula presionar el botón Atrás.

Aunque las muestras actualmente activas de la amenaza parecen estar enfocadas únicamente en usuarios colombianos, no hay nada que detenga a los operadores de los troyanos Coper Baking para expandir su operación en las próximas versiones lanzadas.