Las aplicaciones del malware “Coper” tienen un diseño modular e incluyen un método de
infección en varias fases y muchas tácticas defensivas para evadir los intentos de eliminación. Originalmente iba dirigido a usuarios colombianos y fue descubierto alrededor de julio de 2021.
Hispasec ha analizado alguna de las últimas muestras de esta familia y la lista de entidades a las que afecta ha aumentado estrepitosamente. Ya no solo afecta a entidades colombianas, sino que han incluido cientos de entidades bancarias y exchange de criptomonedas europeos.
Servicios:
El troyano llama a la api GetSystemService para obtener información de servicios de android:
- android.os.BatteryManager@7baf2b0
- android.app.ActivityManager@730f5f3
- android.app.AppOpsManager@b29c062
- android.app.NotificationManager@61e193f
- android.app.KeyguardManager@d455640
- android.view.WindowManagerImpl@27a1583
Comprueba, de forma continua, que tenga todos los permisos:
- android.permission.RECEIVE_SMS»,»5095″,»10073″
- android.permission.READ_SMS»,»5095″,»10073″
- «android.permission.RECEIVE_SMS»,»5095″,»10073″
- «android.permission.READ_SMS»,»5095″,»10073″
- «android.permission.CALL_PHONE»,»5095″,»10073″
- «android.permission.SEND_SMS»,»5095″,»10073″
- android.app.NotificationManager@61e193f
Por otro lado también comprueba si se está ejecutando en un entorno virtual, verifica si hay tarjeta SIM activa y comprueba el país de residencia del usuario a través de ip-api.com. Si una de estas comprobaciones falla, los droppers dejarán de funcionar inmediatamente.
Como primera respuesta obtiene:
6v23FBePoOHfMwn/JMNXC6Xskf9h50vk6w8bTd9BUem2/RGScqcRaSFTVBAWLiCh3SEXtIqLxzmJ6ci
QjiQiiGpdllSuWo+2EdgsjM7Ihpfd3WVanFDHALY8VEk/m8eT
Trás descifrarlo corresponde a:
{«response»:»er1″,»tasks»:[],»panel_smarts_ver»:»46″,»keylogger_enabled»:null,»net_delay»:»60″}
El C&C registra a la víctima y una vez que se ha completado el receiver_Registered y el
acsb_system_init devuelve la lista de aplicaciones a atacar.
Cabe destacar que algunas muestras de las analizadas utilizan la técnica ya conocida como ‘overlays‘, aunque algunas otras también utilizan VNC para iniciar los servicios de grabación de pantalla.
