Il CERT-AGID ha pubblicato un avviso di sicurezza relativo a due campagne di phishing rivolte rispettivamente verso utenti INPS e verso i clienti dell’istituto bancario Intesa Sanpaolo che veicolano il trojan bancario Coper.
Gli esperti hanno rilevato che i domini e le pagine di phishing in entrambi i casi ospitavano un file APK che si è scoperto essere il trojan bancario Coper, una versione avanzata di Exobot secondo i ricercatori Cyble che hanno individuato Coper per la prima volta nel mese di marzo 2022.
Coper è un malware piuttosto evoluto in grado di prendere il controllo completo del dispositivo compromesso (inclusa la gestione audio e schermo) e di interagire con i server di Command & Control per inviare informazioni, ricevere ed eseguire nuove istruzioni cifrate tramite crittografia simmetrica AES con chiave embedded (“461e4ffbc2”).
Coper è quindi in grado di: attivare una sessione vnc; abilitare le funzionalità di keylogging; iniettare codice HTML; sottrarre SMS; eseguire richieste USSD; disinstallare applicazioni (oltre sé stesso) ed una lista predefinita di 250 antivirus; aprire una determinata URL; eseguire altre APP.
I due campioni individuati in Italia utilizzano gli stessi C2 e differiscono semplicemente per il nome app e per la chiave utilizzata per decifrare i C2 tramite crittografia RC4.
Il file con nome “INPSPAGAMENTO.apk” (denominato “IntesaSanpaolocertificato.apk” nel caso di Intesa Sanpaolo) sembra essere il frutto di uno stadio successivo dell’attacco.
I C2 e le altre stringhe cifrate RC4 possono essere decifrati tramite la ricetta CyberChef indicata e nell’avviso del CERT-AGID.
Il CERT-AGID ha già condiviso i relativi IoC attraverso le sue piattaforme per favorirne la loro diffusione alla sua constituency ed alle PA accreditate e riportato gli indicatori rilevati al fine di diffondere pubblicamente i dettagli per il contrasto di questa campagna.
https://cert-agid.gov.it/news/trojan-bancario-coper-anche-italia/