Coper – банківський троян, що маскується під офіційні додатки
Банківські трояни вже декілька років залишаються одними з найбільш розповсюджених видів шкідливого ПЗ у світі. Наразі, ми хочемо розповісти про досить новий, але ефективний троян Coper. Можна констатувати, що у 2021 році відбуваються «польові випробування» цього шкідливого ПЗ у Латинській Америці. Втім, як це часто буває, успіх на локальних ринках часто переводить успішну малварь на транснаціональний рівень.
Способи зараження ПК
Проектуючи процес зараження, кіберзлочинці, що управляють банківським троянцем Coper вирішили, що двоетапний процес інфікування ПК надає найбільші шанси на успіх. Спочатку жертва має встановити на свій ПК дропер, а вже потім він дозавантажить троян Coper, що і завершить процес інфікування. Зазвичай, дропер маскується під оригінальний додаток одного із відомих локальних банків. Він має максимально точно відтворювати оригінал і за допомогою методів соціальної інженерії доставлятися потенційним жертвам за допомогою СПАМ розсилок.
Якщо, користувач отримує лист з повідомленням, про позачергове оновлення додатку онлайн-банкінга за допомогою електронного листа і слідує вказівкам, що пропонують скачати його власноруч з прикріпленого архіву чи просто перейти за посиланням у тілі листа – це ініціює встановлення дропера та успішне завершення першого етапу інфікування ПК
Далі, дропер дозавантажує з окремого сервера саме троян Coper, в процесі чого отримує доступ до спеціальних можливостей пристрою (Accessibility Services), що дозволяє взяти систему під повний контроль. Цікавий факт, що надання дозволів програмі на використання Accessibility Services надає сам користувач, адже вважає що встановив офіційний і безпечний додаток. Після чого знімається заборона на завантаження додатків з невідомих джерел і основний модуль трояна Coper безперешкодно встановлюється на пристрій.
Сам Coper отримує доступ на керування та читання повідомлень що надходять на телефон, а також отримує статус Адміністратора, що остаточно закріплює повне підпорядкування пристрою.
На що полює
Головна мета Coper - отримати дані щодо оригінальних пар логін/пароль банківських акаунтів інтернет-банкінгів користувачів інфікованих пристроїв. Троян має досить широкий функціонал, що дозволяє використовувати вбудовані функції кейлогера, читання та перехоплення сервісних повідомлень від банків, ініціювати введення логінів та паролів на фішингових сторінках, що демонструються користувачу під приводом необхідності пройти терміновий процес автентифікації в системі онлайн-банкінга тощо. Отримавши необхідні дані, Coper відправляє їх операторам даного шкідливого ПЗ, які можуть використати їх у своїх злочинних цілях.
Окрім того, Coper має досить потужні та продумані системи захисту від виявлення на дезактивації захисними системами операційної систем пристроїв та сторонніми програмами захисту. Так, наприклад, при спробі, навіть вдалій видалити Coper з пристрою, залишки програми або невиявлені модулі дропера, можуть провести повторне встановлення трояна.
Також, автори Coper заклали в його арсенал систему оповіщення та моніторингу дій, що потенційно можуть призвести до його виявлення чи видалення. Так, якщо користувач спробує перевірити додаток за допомогою Google Play Protect або спробує змінити налаштування дозволів адміністратора для Coper, троян може примусово ініціювати натискання функціональної кнопки “Додому”, що поверне власника пристрою на головний екран девайса. Якщо не знати про такий функціонал трояна може здатися що це глюк системи і через 2-3 повторення призведе до того що власник інфікованого пристрою полишить ці спроби, вважаючи що це баг ОС.
Як захиститися
Найкращим захистом від шкідливого ПЗ, на думку експертів антивірусної компанії Zillya, є обачність.
Знаючи і використовуючи кілька правил базової кібербезпеки можна звести до мінімуму ймовірність зараження:
1. Не відкривайте листи від невідомих адресатів з вкладеними архівами і текстовими документами
2. Не переходьте за посиланнями, що вкладені в SMS або в тіло електронних листів
4. Не використовуйте файли відомих програм із сторонніх неперевірених джерел
6. Користуйтеся антивірусом, як на ПК, так і на мобільному пристрої.
7. Регулярно робіть копії важливої інформації
