• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.

Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.

28 junio, 2022 Por Hispasec Deja un comentario

Las aplicaciones del malware “Coper” tienen un diseño modular e incluyen un método de
infección en varias fases y muchas tácticas defensivas para evadir los intentos de eliminación. Originalmente iba dirigido a usuarios colombianos y fue descubierto alrededor de julio de 2021.

https://www.virustotal.com/gui/file/c2373323cd272f3a687e9c15ad56adf7f4c9cf9ab5e51523090527e6ae1d2592/detection

Desde Hispasec hemos analizado alguna de las últimas muestras de esta familia y la lista de entidades a las que afecta ha aumentado estrepitosamente. Ya no solo afecta a entidades colombianas, sino que han incluido cientos de entidades bancarias y exchange de criptomonedas europeos.

Servicios:

El troyano llama a la api GetSystemService para obtener información de servicios de android:

  • android.os.BatteryManager@7baf2b0
  • android.app.ActivityManager@730f5f3
  • android.app.AppOpsManager@b29c062
  • android.app.NotificationManager@61e193f
  • android.app.KeyguardManager@d455640
  • android.view.WindowManagerImpl@27a1583

Comprueba, de forma continua, que tenga todos los permisos:

  • android.permission.RECEIVE_SMS»,»5095″,»10073″
  • android.permission.READ_SMS»,»5095″,»10073″
  • «android.permission.RECEIVE_SMS»,»5095″,»10073″
  • «android.permission.READ_SMS»,»5095″,»10073″
  • «android.permission.CALL_PHONE»,»5095″,»10073″
  • «android.permission.SEND_SMS»,»5095″,»10073″
  • android.app.NotificationManager@61e193f

Por otro lado también comprueba si se está ejecutando en un entorno virtual, verifica si hay tarjeta SIM activa y comprueba el país de residencia del usuario a través de ip-api.com. Si una de estas comprobaciones falla, los droppers dejarán de funcionar inmediatamente.

Como primera respuesta obtiene:

6v23FBePoOHfMwn/JMNXC6Xskf9h50vk6w8bTd9BUem2/RGScqcRaSFTVBAWLiCh3SEXtIqLxzmJ6ci
QjiQiiGpdllSuWo+2EdgsjM7Ihpfd3WVanFDHALY8VEk/m8eT

Trás descifrarlo corresponde a:

{«response»:»er1″,»tasks»:[],»panel_smarts_ver»:»46″,»keylogger_enabled»:null,»net_delay»:»60″}

El C&C registra a la víctima y una vez que se ha completado el receiver_Registered y el
acsb_system_init devuelve la lista de aplicaciones a atacar.

Cabe destacar que algunas muestras de las analizadas utilizan la técnica ya conocida como ‘overlays‘, aunque algunas otras también utilizan VNC para iniciar los servicios de grabación de pantalla.

Desde Hispasec recomendamos encarecidamente que tengan especial cuidado al descargar aplicaciones no legítimas y que notifiquen a sus bancos cualquier actividad inusual o sospechosa.

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Machine Learning aplicado a Ciberseguridad

Bitcoin

Arduino para Hackers

Publicado en: General, Malware Etiquetado como: COPER

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Cisco afectada por ransomware Yanluowang
  • Cisco parchea vulnerabilidad alta en ASA y Firepower
  • Ataque a Curve.Finance, robados casi 570.000 doláres
  • Microsoft Edge mejora la seguridad contra sitios maliciosos con su modo de seguridad mejorado
  • Ataque a la plataforma cripto deBridge Finance

Entradas recientes

  • Ataque a Curve.Finance, robados casi 570.000 doláres
  • Cisco parchea vulnerabilidad alta en ASA y Firepower
  • Cisco afectada por ransomware Yanluowang
  • Microsoft Edge mejora la seguridad contra sitios maliciosos con su modo de seguridad mejorado
  • Ataque a la plataforma cripto deBridge Finance
  • Slack reinicia todas las contraseñas tras un bug que exponía los hashes de las contraseñas de algunos usuarios
  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Ataque a Curve.Finance, robados casi 570.000 doláres
  • Cisco parchea vulnerabilidad alta en ASA y Firepower
  • Cisco afectada por ransomware Yanluowang
  • Microsoft Edge mejora la seguridad contra sitios maliciosos con su modo de seguridad mejorado
  • Ataque a la plataforma cripto deBridge Finance

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...