Coper Android Trojan treft Colombiaanse gebruikers
Coper is een nieuw geïdentificeerde bedreiging, die kenmerken lijkt te hebben die typisch zijn voor banktrojans. Het richt zich uitsluitend op mobiele Android-apparaten en kan zich richten op een breed scala aan financiële instellingen. De topprioriteit lijkt echter de Colombiaanse banken te zijn. De Coper Banking Trojan is herkenbaar aan gerenommeerde antivirussoftware en u kunt uw gegevens en smartphone veilig houden door een up-to-date beveiligingstool te gebruiken. Het zal u ook beschermen tegen soortgelijke bedreigingen zoals de Bizarro Banking Trojan .
Table of Contents
Coper Banking Trojan verspreid via nep-apps
Grootschalige verspreidingscampagnes voor malware maken vaak gebruik van meerdere technieken en strategieën om hun bereik te vergroten. In het geval van de Coper Banking Trojan misbruiken de makers valse versies van 'Bancolombia Personas', de officiële bank-app van Bancolombia. Het nep-installatieprogramma gebruikt hetzelfde logo en dezelfde naam als het origineel, maar is niet te vinden in de Google Play Store. Wat betreft de manier waarop het kwaadaardige installatieprogramma wordt gepromoot, kunnen de criminelen meerdere benaderingen gebruiken: e-mailspam, sms-spam, nepadvertenties, sociale media en meer.
Hoe werkt de aanval van de Coper Banking Trojan?
Zodra het schadelijke APK-bestand is geïnstalleerd en klaar voor gebruik, kan de gebruiker worden gevraagd om de app bepaalde machtigingen te geven. Het is onwaarschijnlijk dat gebruikers hier iets vreemds aan zullen vinden, aangezien de officiële Bancolombia Personas-app ook enkele machtigingen vereist. Er is echter één verzoek dat opvalt aan de nepversie: het vraagt de gebruiker om toegang te verlenen tot Accessibility Services. Bijna alle Android-malwarefamilies gaan achter deze machtigingen aan omdat ze hen bijna volledige controle geven over het gehackte apparaat.
Als de Coper Banking Trojan krijgt wat hij wil, gaat hij verder met:
- Schakel Google Play Protect uit.
- Schakel de installatie van apps van onbekende bronnen in.
- Geef extra payloads de toestemming die ze nodig hebben.
Qua functionaliteit is de Coper Banking Trojan in staat om gecompliceerde phishing-aanvallen uit te voeren door gebruik te maken van overlays. Deze overlays worden automatisch geactiveerd wanneer het slachtoffer een specifieke website of app opent die wordt gebruikt door een van de financiële instellingen waarop Coper zich richt. De overlay is meestal ontworpen om er net zo uit te zien als de originele app - alle gegevens die daar worden ingevoerd, worden verzonden naar de command-and-control-server van de aanvallers.
De Coper Trojan heeft interessante functies en veiligheidsmaatregelen
Naast de overlay phishing-aanval, stelt de Coper Banking Trojan zijn operators ook in staat om:
- Start een keylogger.
- Steel de contactenlijst.
- Beheer en verzend SMS-berichten.
- Aangepaste meldingen weergeven.
- Vergrendel het apparaat.
- Apps verwijderen.
- Zelfverwijdering.
De trojan heeft ook een zeer eigenaardige 'beveiligingsfunctie' om te voorkomen dat gebruikers hem verwijderen. Het volgt het gedrag van de gebruiker en simuleert een tik op de 'Home'-knop als de gebruiker probeert:
- Open de Google Play Protect-instellingen.
- Beheer apparaatbeheerders.
- Bekijk informatie over de Trojan in de lijst met geïnstalleerde apps.
- Probeer de machtigingen van de schadelijke app te beheren.
Deze eenvoudige beveiligingsmaatregel kan zeer effectief blijken te zijn, omdat het voorkomt dat gebruikers het probleem zelf oplossen. Zoals u kunt zien, onderzoeken ontwikkelaars van banktrojans altijd nieuwe mogelijkheden om hun implantaten te verbergen en hun verwijdering zo uitdagend mogelijk te maken. De beste manier om uzelf tegen dergelijke apps te beschermen of actieve infecties te verwijderen, is door een up-to-date Android-antivirus-app te gebruiken.
