giovedì 19 maggio 2022

Alert del CERT: il banking trojan Coper sbarca in Italia


In circolazione già dal 2021, Coper è una nuova famiglia di trojan bancari pensati per i dispositivi che eseguono Android. Ha una architettura a più moduli che consente di implementare più funzionalità. Ora il CERT lancia l'allarme: Coper è arrivato in Italia. 

Il CERT individua Coper in diffusione in Italia

L'annuncio è di qualche giorno fa: "durante le attività di monitoraggio", si legge nell'alert "il CERT ha individuato due campagne di phishing rivolte ad utenti INPS e Intesa Sanpaolo". Insomma il malware è stato individuato in the wild, in diffusione e in uso in attacchi reali. 

Entrambi i domini usati nelle campagne, spiegano gli esperti del CERT, oltre alla consueta pagina di phishing ospitavano anche un file APK. Una volta analizzato, questo è risultato essere una variante della famiglia di trojan bancari Coper, della quale ancora non si erano registrati tentativi di diffusione in Italia. 

La pagina di phishing che sfrutta i riferimenti dell'INPS. Fonte: https://cert-agid.gov.it

Fonte: https://cert-agid.gov.it



Le due campagne sono evidentemente collegate tra loro, dato che utilizzano gli stessi server C&C: le differenze stanno soltanto nel  nome dell'app e per  la chiave di criptazione delle comunicazioni C&C, criptate tramite RC4. 

L'analisi dei file APK

Il file APK analizzato in diffusione è lo stesso, differisce solo nel nome: “INPSPAGAMENTO.apk”

IntesaSanpaolocertificato.apk”. 

All'installazione il file si presenta così

Fonte: https://cert-agid.gov.it

Questo sample sembra essere molto evoluto ed ha funzionalità piuttosto avanzate. Anzitutto può ottenere il controllo completo del dispositivo compromesso, compreso audio e schermo. Interagisce col proprio server C&C per inviare le informazioni sottratte dal dispositivo, ma anche per ricevere istruzioni e funzionalità: tutte le comunicazioni sono criptate con chiave asimmetrica AES. 

Tra le funzionalità individuate, spiega il CERT, vi sono:

  • attivazione di una sessione VNC;
  • funzionalità di keylogging;
  • HTML code injection;
  • furto degli SMS;
  • disinstallazione di applicazioni comprese in una lista predefinita di 250 diversi antivirus;
  • apertura di URL;
  • esecuzione di ulteriori app,
  • generazione di richieste USSD, che normalmente sono usate per mettere in comunicazione l'utente con i server dell'operatore telefonico. 

Le prime diffusioni contro utenti colombiani

Le prime individuazioni di Coper risalgono al 2021, quando fu individuato in diffusione in Colombia camuffato da app di baking delle principali banche colombiane, molte delle quali erano direttamente scaricabili dal Google Play Store. 

Già al tempo il malware si installava con un meccanismo a più stadi. Il primo è proprio l'installazione dell'app esca, che altro non è che un dropper: il dropper scarica poi il modulo dannoso principale del malware. 

Fonte: https://news.drweb-av.it

Indicatori di compromissione

Il CERT ha pubblicato, relativamente ai sample di Coper analizzati, gli indicatori di compromissione relativi, consultabili qui

Nessun commento:

Posta un commento