Coper Banking Trojan

Coper Banking Trojan 説明

Doctor Webのinfosec研究者は、コロンビアのユーザーを標的とするAndroidバンキング型トロイの木馬の新しいファミリーを発見しました。 Coper Banking Trojanと名付けられたこの脅威は、多段階の感染チェーンを使用してAndroidデバイスを侵害し、主にユーザーの銀行の資格情報を収集しようとする多数の有害な活動を実行します。さらに、検出されたトロイの木馬は、検出をより困難にするモジュール構造を持ち、さまざまなタイプの削除の試みから脅威を保護するいくつかの永続化メカニズムを備えています。

アタックチェーン

Coper Bankingトロイの木馬は、バンコロンビアによってリリースされた正規のアプリケーションであるかのように見えるように設計された破損したアプリケーションを介して拡散します。そのような偽のアプリケーションの1つはBacolombiaPersonasと呼ばれ、そのアイコンは公式のBancolombiaアプリケーションのスタイルとカラーパレットを模倣しています。この段階で、スポイトは浸透したAndroidデバイスに配信されます。ドロッパーの主な目的は、「o.html」という名前のWebドキュメントを装った次のステージのペイロードを復号化して実行することです。

第2段階のモジュールは、アクセシビリティサービス機能の取得を担当します。これは、Coper Trojanが侵害されたデバイスを制御し、特定のボタンの押下を模倣するなどのユーザーアクションを実行できるようにするため、脅威のいくつかの危険な機能にとって不可欠です。マルウェアはまた、組み込みのマルウェア保護Google PlayProtectを無効にしようとします。

感染チェーンの第3段階では、バンキング型トロイの木馬のメインモジュールが復号化されて開始されます。ユーザーの注意を引くことを避けるために、この脅迫的なコンポーネントは、キャッシュプラグインと呼ばれるアプリケーションを装ったシステムにインストールされます。このトロイの木馬は、システムによる終了を回避できるように、デバイスのバッテリー最適化ホワイトリストに追加するように要求します。さらに、御馳走はそれに電話とSMSへのアクセスを与えるデバイス管理者として自分自身を設定します。

悪意のある機能

ホーム画面からアイコンを削除した後、Coper Trojanはコマンドアンドコントロール(C&C、C2)サーバーに通知し、待機モードに入ります。脅威は定期的に、デフォルトでは1分ごとに1回、新しい手順についてC&Cサーバーに連絡します。攻撃者は、SMSの送信と傍受、画面のロック/ロック解除、キーロガールーチンの実行、新しいプッシュ通知の表示または着信通知の傍受、アプリケーションのアンインストール、または脅威に自分自身をアンインストールするように指示することができます。

脅威アクターは、脅威の動作を変更して、悪意のある目標により適したものにすることもできます。トロイの木馬のC&Cサーバーのリスト、対象のアプリケーション、削除するアプリケーションのリスト、または実行を禁止するように設定されているアプリケーションはすべて調整できます。

Coperはバンキング型トロイの木馬に分類されているため、その主な目的は銀行の資格情報を収集することです。対象となるアプリケーションの正当なログイン画面をほぼ同一のフィッシングページでオーバーレイします。偽のページのコンテンツはC&Cからダウンロードされ、WebViewに配置されます。入力された情報はすべて廃棄され、ハッカーにアップロードされます。

防御テクニック

Coper Banking Trojanは、デバイス上に脅威が継続的に存在することを保証したり、特定の状況下での実行を阻止したりするいくつかの保護手段を示します。たとえば、脅威は、ユーザーの国、アクティブなSIMカードがデバイスに接続されているかどうか、または仮想環境で実行されているかどうかを判断するために、いくつかのチェックを行います。チェックの1つが指定されたパラメーター内にない場合でも、脅威は自動的に終了します。

別の手法では、トロイの木馬が害を及ぼす可能性のあるアクションを積極的にスキャンします。この脅威は、ユーザーがPlayストアアプリケーションでGoogle Playプロテクトページを開こうとしているのか、デバイス管理者を変更しようとしているのか、トロイの木馬の情報ページを表示しようとしているのか、ユーザー補助サービス機能から除外しようとしているのかを検出できます。これらのアクションのいずれかを検出すると、脅威はホームボタンを押してユーザーをホーム画面に戻すことをシミュレートします。同様の方法を使用して、ユーザーが[戻る]ボタンを押すことをシミュレートするときにトロイの木馬をアンインストールできないようにします。

現在アクティブな脅威のサンプルはコロンビアのユーザーのみに焦点を当てているように見えますが、Coper BakingTrojansのオペレーターが次のリリースバージョンで操作を拡張することを妨げるものは何もありません。