Troyano Android Coper ataca a usuarios colombianos

Coper es una amenaza recientemente identificada, que parece tener características típicas de los troyanos bancarios. Se dirige exclusivamente a los dispositivos móviles Android y puede dirigirse a una amplia gama de instituciones financieras. Su máxima prioridad, sin embargo, parece ser la banca colombiana. El troyano Coper Banking es identificable por un software antivirus de buena reputación, y puede mantener sus datos y su teléfono inteligente a salvo mediante el uso de una herramienta de seguridad actualizada. También lo mantendrá a salvo de amenazas similares como el troyano bancario Bizarro .

El troyano Coper Banking se propaga a través de aplicaciones falsas

Las campañas de propagación de malware a gran escala a menudo emplean múltiples técnicas y estrategias para mejorar su alcance. En el caso del troyano Coper Banking, sus creadores están abusando de versiones falsas de 'Bancolombia Personas', la aplicación bancaria oficial de Bancolombia. El instalador falso usa el mismo logotipo y nombre que el original, pero no se encuentra en Google Play Store. En cuanto a la forma en que se promueve el instalador malicioso, los delincuentes pueden usar múltiples enfoques: correo no deseado, correo no deseado de mensajes de texto, anuncios falsos, redes sociales y más.

¿Cómo funciona el ataque del troyano Coper Banking?

Una vez que el archivo APK malicioso está instalado y listo para funcionar, es posible que se le solicite al usuario que otorgue ciertos permisos a la aplicación. Es poco probable que los usuarios encuentren algo extraño en esto, ya que la aplicación oficial de Bancolombia Personas también requiere algunos permisos. Sin embargo, hay una solicitud que se destaca sobre la versión falsa: le pide al usuario que le otorgue acceso a los Servicios de accesibilidad. Casi todas las familias de malware de Android buscan estos permisos porque les otorgan un control casi total sobre el dispositivo pirateado.

Si el troyano Coper Banking obtiene lo que quiere, procederá a:

• Desactive Google Play Protect.
• Habilite la instalación de aplicaciones de fuentes desconocidas.
• Otorgue a las cargas útiles adicionales el permiso que necesitan.

En términos de funcionalidad, el troyano Coper Banking es capaz de realizar complicados ataques de phishing mediante el uso de superposiciones. Estas superposiciones se activan automáticamente cada vez que la víctima abre un sitio web o una aplicación específicos utilizados por una de las instituciones financieras a las que se dirige Coper. La superposición generalmente está diseñada para parecerse a la aplicación original: cualquier dato ingresado allí se envía al servidor de comando y control de los atacantes.

El troyano Coper tiene características y medidas de seguridad interesantes

Además del ataque de phishing de superposición, el troyano Coper Banking también permite a sus operadores:

• Inicie un keylogger.
• Roba la lista de contactos.
• Gestionar y enviar mensajes SMS.
• Muestra notificaciones personalizadas.
• Bloquea el dispositivo.
• Desinstalar aplicaciones.
• Autoextracción.

El troyano también tiene una característica de "seguridad" muy peculiar para evitar que los usuarios lo eliminen. Realiza un seguimiento del comportamiento del usuario y simulará un toque en el botón 'Inicio' si el usuario intenta:

• Accede a la configuración de Google Play Protect.
• Gestionar administradores de dispositivos.
• Vea información sobre el troyano en la lista de aplicaciones instaladas.
• Intente administrar los permisos de la aplicación maliciosa.

Esta simple medida de seguridad puede resultar muy eficaz, ya que evitará que los usuarios solucionen el problema por sí mismos. Como puede ver, los desarrolladores de troyanos bancarios siempre están explorando nuevas oportunidades para ocultar sus implantes y hacer que su extracción sea lo más desafiante posible. La mejor manera de protegerse de estas aplicaciones o de eliminar infecciones activas es utilizar una aplicación antivirus de Android actualizada.