Cheval de Troie bancaire Coper
Les chercheurs d'infosec de Doctor Web ont découvert une nouvelle famille de chevaux de Troie bancaires Android ciblant les utilisateurs colombiens. Nommée le cheval de Troie Coper Banking, la menace utilise une chaîne d'infection à plusieurs étapes pour compromettre les appareils Android et exécuter une multitude d'activités nuisibles, principalement en essayant de collecter les informations d'identification bancaires de l'utilisateur. De plus, les chevaux de Troie détectés ont une structure modulaire pour rendre la détection plus difficile et sont équipés de plusieurs mécanismes de persistance qui protègent la menace de différents types de tentatives de suppression.
Table des matières
La chaîne d’attaque
Le cheval de Troie Coper Banking se propage via des applications corrompues conçues pour apparaître comme des applications légitimes publiées par Bancolombia. L'une de ces fausses applications s'appelle Bacolombia Personas et son icône imite le style et la palette de couleurs des applications officielles de Bancolombia. À ce stade, un compte-gouttes est livré à l'appareil Android infiltré. L'objectif principal du compte-gouttes est de déchiffrer et d'exécuter la charge utile de l'étape suivante qui prétend être un document Web nommé « o.html ».
Le module de deuxième étape est chargé d'obtenir les fonctions des services d'accessibilité. Ceci est essentiel pour plusieurs des capacités dangereuses de la menace, car elles permettront au cheval de Troie Coper de contrôler l'appareil compromis et d'effectuer des actions de l'utilisateur, comme imiter la pression de boutons spécifiques. Le logiciel malveillant tentera également de désactiver la protection intégrée contre les logiciels malveillants Google Play Protect.
Au cours de la troisième étape de la chaîne d'infection, le module principal du cheval de Troie bancaire est déchiffré et lancé. Pour éviter d'attirer l'attention de l'utilisateur, ce composant menaçant est installé sur le système déguisé en une application appelée plugin Cache. Le cheval de Troie demandera à être ajouté à la liste blanche d'optimisation de la batterie de l'appareil lui permettant d'éviter la résiliation par le système. De plus, la friandise se définira comme administrateur de l'appareil, ce qui lui donnera accès aux appels téléphoniques et aux SMS.
Capacités malveillantes
Après avoir supprimé son icône de l'écran d'accueil, le cheval de Troie Coper notifiera son serveur Command-and-Control (C&C, C2) et passera en mode attente. La menace contactera périodiquement, une fois par minute par défaut, le serveur C&C pour de nouvelles instructions. Les attaquants peuvent envoyer et intercepter des SMS, verrouiller/déverrouiller l'écran, exécuter une routine d'enregistreur de frappe, afficher de nouvelles notifications push ou intercepter les notifications entrantes, désinstaller des applications ou dire à la menace de se désinstaller elle-même.
Les acteurs de la menace peuvent également modifier le comportement de la menace pour mieux l'adapter à leurs objectifs malveillants. La liste des serveurs C&C du cheval de Troie, les applications ciblées, la liste des applications à supprimer ou celles dont l'exécution doit être empêchée peuvent toutes être ajustées.
Coper est classé comme cheval de Troie bancaire et, en tant que tel, son objectif principal est de collecter des informations d'identification bancaires. Il superpose les écrans de connexion légitimes des applications ciblées avec une page de phishing presque identique. Le contenu de la fausse page est téléchargé à partir du C&C, puis placé dans WebView. Toute information saisie sera supprimée et téléchargée sur les pirates.
Techniques défensives
Le cheval de Troie Coper Banking présente plusieurs mesures de protection qui assurent la présence continue de la menace sur l'appareil ou l'empêchent de s'exécuter dans des circonstances spécifiques. Par exemple, la menace effectue plusieurs vérifications pour déterminer le pays de l'utilisateur, si une carte SIM active est connectée à l'appareil ou si elle est exécutée dans un environnement virtuel. Même si l'une des vérifications n'est pas dans les paramètres spécifiés, la menace se terminera.
Une autre technique implique que le cheval de Troie recherche activement des actions qui pourraient lui nuire. La menace peut détecter si l'utilisateur essaie d'ouvrir la page Google Play Protect dans l'application Play Store, essaie de changer les administrateurs de l'appareil, essaie d'afficher la page d'informations du cheval de Troie ou l'exclut de la fonctionnalité Services d'accessibilité. Lors de la détection de l'une de ces actions, la menace simulera une pression sur le bouton Accueil pour ramener l'utilisateur à l'écran d'accueil. Une méthode similaire est utilisée pour empêcher l'utilisateur de désinstaller le cheval de Troie car il simule le fait d'appuyer sur le bouton Retour.
Bien que les échantillons actuellement actifs de la menace semblent se concentrer uniquement sur les utilisateurs colombiens, rien n'empêche les opérateurs des chevaux de Troie Coper Baking d'étendre leurs opérations dans les prochaines versions publiées.
