【安全资讯】Coper：针对哥伦比亚用户的新型安卓银行木马

引言

研究人员发现了一个名为“Android.BankBot.Coper”的新型安卓银行木马家族，该恶意应用程序具有模块化架构和多阶段感染机制，同时还拥有多种保护技术，可以防御恶意应用被卸载。Coper样本伪装成哥伦比亚银行官方金融机构应用程序Bancolombia Personas传播，为了看起来更真实，这些虚假应用程序的图标都是按照目标银行的正版软件的外观设计的。迄今为止，所有已知的 Coper银行木马针对的目标都是哥伦比亚用户，研究人员表示该木马可能会随着时间的推移出现针对其他国家用户的新版本。

简况

以下是Google Play 上提供的假冒应用程序图标（左图）和正版 Bancolombia 应用程序图标（右图）的示例：

感染过程分为几个阶段。第一步是安装伪装成银行软件的诱饵虚假应用程序，该应用程序就是一个 dropper，主要任务是将隐藏在其中的主要恶意模块传播并安装到目标 Android 设备上。启动时，dropper 解密并运行一个可执行的 dex 文件。该木马组件在感染过程的第二阶段发挥作用。它的任务之一是获取对辅助功能的访问权限。利用这些功能，木马将完全控制受感染的设备并模仿用户操作。为此，它会向受害者请求相应的权限。如果成功，木马将自行执行所有进一步的恶意操作。它试图禁用操作系统中内置的恶意软件保护 Google Play Protect；它还试图允许安装来自未知来源的应用程序，并安装和运行主要的恶意模块。该木马解密并使用获得的权限安装隐藏在第二个解密文件中的恶意apk包（Android.BankBot.Coper.2）。此文件包含木马模块Android.BankBot.Coper.1.origin。启动后，此主模块可以访问许多重要功能。此外，木马会自动成为设备管理员并获得管理电话和短信的权限。接下来，这个恶意模块会从位于主屏幕上的已安装应用程序列表中隐藏其图标。该木马通过每分钟发送一次请求来保持与 C&C 服务器的持续连接。

根据从 C&C 服务器收到的答复，木马还可以更改其他设置，包括：

1.C&C 服务器列表

2.确定将在启动时被网络钓鱼窗口覆盖的目标应用程序列表

3.要删除的应用程序列表

4.木马将阻止启动的应用程序列表，将用户返回到主屏幕

5.将阻止其通知的应用程序列表

6.其他参数

木马模块收到直接命令后，可以执行以下恶意操作：

1.发送 USSD 请求

2.发送短信

3.锁定设备屏幕

4.解锁设备屏幕

5.开始拦截短信

6.停止拦截短信

7.显示推送通知

8.在指定的应用程序顶部重新显示网络钓鱼窗口

9.运行键盘记录器

10.停止键盘记录器

11.卸载命令中指定的应用程序

12.使用dropper应用程序自行卸载

13.拦截推送通知的内容并将其发送到 C&C 服务器

Android.BankBot.Coper木马具有多种防御机制，其中之一是控制主要恶意组件的完整性。如果它被删除，攻击者将尝试重新安装它。第二种保护方法是监控对木马的潜在危险动作，包括在 Play 商店应用中打开Google Play保护页面；用户尝试更改设备管理员列表；用户从系统的已安装应用列表中访问木马的信息页面；用户尝试更改木马对辅助功能的访问权限。如果木马检测到这些事件，它们就会使用辅助功能来模拟按下Home键，将受害者返回到主屏幕；如果他们检测到用户试图卸载，就会模拟按下“back”键。因此，木马不仅不会被移除，还会阻止受害者正常使用自己的设备。此外，Android.BankBot.Coper dropper 配备了额外的保护机制。例如，他们检查自己是否在虚拟环境中运行，验证是否有有效的 SIM 卡，并检查用户的居住国家/地区。