Компания «Доктор Веб» обнаружила новое семейство банковских троянов для Android, получившее имя Android.BankBot.Coper (далее Coper). Пока банкеры нацелены на колумбийских пользователей, однако, исследователи считают, что со временем возможно появление версий, которые будут атаковать пользователей из других стран.

Сообщается, что малварь этого семейства обладают модульной архитектурой и многоступенчатым механизмом заражения, а также набором защитных приемов, помогающих противостоять удалению.

Все обнаруженные образцы Coper распространялись под видом официального ПО кредитной организации Bancolombia (приложения Bancolombia Personas). Для большей убедительности их иконки были оформлены в том же стиле, что и у настоящих программ банка. Для сравнения, ниже приведен пример значка подделки (слева) и пример значков настоящих приложений Bancolombia (справа), доступных для загрузки в Google Play.

Процесс заражения разделен на несколько этапов. Первой ступенью является установка программы-приманки, которую злоумышленники выдают за реально банковское приложение. Фактически, это дроппер, основная задача которого ― доставить и установить на целевое устройство скрытый внутри него главный вредоносный модуль.

В процессе установки банкер получает доступа к специальным возможностям (Accessibility Services), с помощью которых может полностью контролировать зараженное устройство и имитировать действия пользователя (например, нажимать на кнопки меню и закрывать окна). Для этого он запрашивает у жертвы соответствующее разрешение, а получив его, пытается отключить встроенную в операционную систему защиту Google Play Protect, разрешить установку приложений из неизвестных источников, установить и запустить основной вредоносный модуль и тоже предоставить ему доступ к специальным возможностям.

Главный троянский модуль, выполняющий основные вредоносные действия, устанавливается под видом системного приложения с именем Cache plugin, использующего стандартный для некоторых системных Android-программ значок шестеренки. Такие имя и значок увеличивают вероятность того, что пользователи не увидят в программе угрозу.

При запуске этот модуль получает доступ к ряду важных функций. Так, троян запрашивает разрешение на чтение и управление уведомлениями и добавление его в список исключений системной оптимизации аккумулятора, что позволит ему работать постоянно. Кроме того, троян становится администратором устройства, а также получает доступ к управлению телефонными звонками и SMS-сообщениями.

Далее этот модуль скрывает свой значок из списка приложений на главном экране, «прячась» от пользователя, после чего сообщает C&C-серверу об успешном заражении установки и ждет дальнейших указаний. Банкер поддерживает постоянную связь с сервером, каждую минуту отправляя на него запросы. При необходимости этот интервал может быть изменен соответствующей командой. Кроме того, в зависимости от полученного от сервера ответа троян может изменять и другие свои настройки, среди которых:

  • список управляющих серверов;
  • список целевых приложений, при запуске которых будут демонстрироваться фишинговые окна;
  • список программ, которые необходимо удалить;
  • список приложений, запуску которых троян будет препятствовать, возвращая пользователя на главный экран;
  • список программ, уведомления от которых будут блокироваться;
  • прочие параметры.

Получив нужную команду от своих операторов, Coper способен:

  • выполнять USSD-запросы;
  • отправлять SMS;
  • заблокировать экран устройства;
  • разблокировать экран устройства;
  • начать перехват SMS;
  • прекратить перехват SMS;
  • демонстрировать Push-уведомления;
  • повторно отобразить фишинговое окно поверх заданного приложения;
  • запустить кейлоггер;
  • остановить кейлоггер;
  • удалить указанные в команде приложения;
  • удалить себя, а также дроппер с устройства.

Кроме того, троян перехватывает и отправляет на сервер содержимое всех Push-уведомлений, поступающих на устройство. А для демонстрации фишингового окна малварь использует уже ставший классическим для мобильных банкеров: содержимое такого окна загружается с удаленного сервера и помещается в WebView, который имитирует внешний вид целевой программы для обмана жертвы.

Семейство Coper обладает целым рядом защитных механизмов. Один из них ― контроль целостности основного вредоносного компонента. Если он будет удален, банкеры попытаются установить его вновь. Второй прием ― отслеживание потенциально опасных событий, таких как:

  • открытие страницы Google Play Protect в Play Маркет;
  • попытка пользователя изменить список администраторов устройства;
  • доступ пользователя к разделу с информацией о троянском приложении в списке установленных программ;
  • попытка пользователя изменить права доступа троянского приложения к функциям специальных возможностей.

Если малварь фиксирует какое-либо из этих событий, она  имитирует нажатие кнопки «Домой» (посредством специальных возможностей Android), возвращая жертву на главный экран. Если же оказывается, что пользователь пытается удалить банкера, тот имитируют нажатие кнопки «Назад».

В дропперах троянов предусмотрены и другие механизмы защиты. Например, они проверяют, не запущены ли в виртуальной среде, а также контролируют наличие активной SIM-карты и страну пребывания пользователя. Если проверка заканчивается неудачей, банкеры немедленно завершают свою работу.

Эксперты полагают, что цель таких проверок ― не допустить установку основного вредоносного модуля в неблагоприятных для троянов условиях (например, под контролем ИБ-специалистов или на устройства пользователей из нецелевых стран) и тем самым избежать преждевременного обнаружения. В исследованных «Доктор Веб» образцах такая проверка пока не задействуется, но она может быть использована в будущих модификациях малвари.

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии