coper - RunkIntel

# Coper (Octo) > Tipo: **Android banking trojan MaaS** · Descendente Exobot · [ThreatFabric](https://www.threatfabric.com) · [Team Cymru](https://www.team-cymru.com/post/coper-octo-a-conductor-for-mobile-mayhem-with-eight-limbs) · [Virus Bulletin 2024](https://www.virusbulletin.com/uploads/pdf/conference/vb2024/papers/Octopus-Prime-it-didnt-turn-into-a-truck-but-a-widely-spread-Android-botnet.pdf) > [!danger] MaaS com VNC em Tempo Real - 45.000 Bots Documentados > Coper/Octo representa a evolução maxima do Android banking trojan como servico: nasceu em 2021 mirando a Colombia, foi rebatizado como "Octo" para apagar conexoes com o código-fonte vazado do Exobot, e em 2024 ganhou VNC completo via MediaProjection. Com 45.000 bots documentados e 700.000 SMS interceptados, o Coper/Octo e hoje o Android MaaS banking trojan mais utilizado globalmente. ## Visão Geral [[coper|Coper]] (também denominado **Octo**, **ExobotCompact** ou **Octo2** na versao de 2024) e um Android banking trojan oferecido como **Malware-as-a-Service (MaaS)**. Descende diretamente do **Exobot** (2016) -> **ExobotCompact** (2018) -> **Coper/Octo** (2021) -> **Octo2** (2024), em uma linhagem de evolução continua documentada pela ThreatFabric. Detectado pela primeira vez em julho de 2021 mirando usuarios colombianos como aplicativo falso do **Bancolombia Personas**, o Coper rapidamente expandiu seu escopo. Em 2022, foi rebatizado como "Octo" e disponibilizado como servico pago em forums da dark web pelo ator denominado "android" (e posteriormente "TheArchitect"), apagando referências ao vazamento do código Exobot. **Linhagem completa:** - **Exobot** (2016): baseado no Marcher Trojan; atacou bancos na Turquia, Franca, Alemanha, Australia - **ExobotCompact** (2018): versao lite sem dependência de APIs antigas do Android - **Coper** (Jul/2021): nova variante, Colombia como alvo inicial (fake Bancolombia) - **Octo** (2022): rebranding; 5+ droppers no Google Play com 100.000+ instalacoes - **Octo2** (2024): VNC completo adicionado; disponível como MaaS atualizado **Capacidades MaaS documentadas:** - Keylogging de credenciais, PINs e padroes de desbloqueio - Overlay attacks - telas falsas de login sobre apps bancarios reais - Interceptação de SMS e push notifications (bypass de 2FA) - **VNC via MediaProjection API** - streaming de tela em tempo real (1 screenshot/segundo) - Simulacao de cliques e acoes (device takeover) - Bloqueio de tela no modo "tela preta" (dimmer a 0, notificacoes silenciadas) - Bloqueio de desinstalacao via Accessibility Services **Evidências de escala documentadas:** 45.000 bots detectados por Team Cymru; 700.000 SMS interceptados; 84 IPs de C2 com certificados X.509 similares. ## Como Funciona ### Distribuição Multi-Canal O Coper/Octo utiliza múltiplos vetores de distribuição no modelo MaaS, adaptados por cada comprador: **Canal 1 - Google Play (droppers):** - Apps aparentemente legitimos (limpadores, leitores, instaladores) - Droppers inicialmente "limpos", sem código malicioso - Após uma semana ou mais, update push envia payload via C2 - ThreatFabric identificou 5+ droppers com 100.000+ instalacoes combinadas em 2022 **Canal 2 - APK direto (sideloading):** - Distribuido via SMS smishing, paginas fraudulentas de update de browser - APK falso impersonando WhatsApp, Netflix, bancos, updates do Chrome **Canal 3 - Fake Bancolombia (Colombia):** - APK original mimetizando app oficial do Bancolombia Personas - Contextualizacao regional critica - aumenta conversao em alvos colombianos ### Infecção em Dois Estagios **Estagio 1 - Dropper:** - APK dropper solicita permissao de Accessibility Service - Usa inject falso para convencer usuario a ativar o servico - Instala payload principal (Coper/Octo) silenciosamente via PackageInstaller API **Estagio 2 - Payload bancario:** - Conecta ao C2 (porta hardcoded) - Registra bot com ID de dispositivo, bateria, tipo de rede - Baixa lista de injects (telas falsas) configurada pelo operador - Polling a cada minuto para novos comandos ### VNC e Fraude em Dispositivo A adicao de VNC via **MediaProjection API** em 2024 elevou o Coper/Octo a nova categoria de ameaça: - Cria display virtual espelhando a tela do dispositivo - Captura frames como bitmaps, comprime em JPEG e envia ao C2 - Operador ve em tempo real tudo que acontece no dispositivo - Pode simular toques e gestos enquanto observa - Modo "tela preta": dimmer zerado, notificacoes desabilitadas - vitima nao percebe atividade ## Attack Flow ```mermaid graph TB A["Dropper APK Google Play ou sideload App falso convincente"] --> B["Solicitacao Accessibility Inject falso para permissao Servico de acessibilidade ativado"] B --> C["Instalacao Silenciosa PackageInstaller API Payload Coper instalado"] C --> D["Registro no C2 Device ID, bateria, rede Lista de injects baixada"] D --> E["Overlay Attacks Tela falsa sobre app bancario Credenciais capturadas"] E --> F["SMS Interceptado 2FA capturado antes de entrega OTPs roubados"] F --> G["VNC Ativado MediaProjection API Stream em tempo real ao C2"] G --> H["Fraude em Dispositivo Transferencia iniciada pelo operador via dispositivo confiavel"] classDef dropper fill:#e74c3c,stroke:#c0392b,color:#fff classDef access fill:#e67e22,stroke:#d35400,color:#fff classDef install fill:#f39c12,stroke:#d68910,color:#fff classDef c2 fill:#3498db,stroke:#2980b9,color:#fff classDef collect fill:#8e44ad,stroke:#7d3c98,color:#fff classDef vnc fill:#27ae60,stroke:#229954,color:#fff classDef fraud fill:#2c3e50,stroke:#1a252f,color:#fff class A dropper class B access class C install class D c2 class E,F collect class G vnc class H fraud ``` ## Linha do Tempo ```mermaid timeline title Evolução Coper para Octo 2016 : Exobot - origem da linhagem : Baseado no Marcher trojan : Turquia, Franca, Alemanha alvos 2018 : ExobotCompact lancado : Versao lite sem APIs antigas : Criador alias 'android' 2021 Jul : Coper detectado na Colombia : Fake Bancolombia Personas : Foco inicial na America Latina 2022 : Rebranding como Octo : 5 droppers no Google Play : 100.000+ instalacoes combinadas : Dark web: MaaS disponível 2024 : VNC via MediaProjection adicionado : Código Octo vazado em forum : Octo2 lancado como resposta : 45.000 bots documentados ``` | Período | Evento | |---------|--------| | Jul/2021 | Coper detectado pela primeira vez na Colombia (fake Bancolombia) | | Abr/2022 | ThreatFabric pública relatorio: Octo = ExobotCompact rebatizado | | 2022 | 5+ droppers no Google Play; 100.000+ instalacoes combinadas | | 2023-2024 | Expansao global: Portugal, Espanha, Turquia, EUA, Colombia, Peru | | 2024 | Código Octo vazado; Octo2 lancado com VNC completo | | 2024 | VB2024: Team Cymru documenta 45.000 bots e 700.000 SMS interceptados | ## TTPs Mapeados (MITRE ATT&CK Mobile) | Tática | Técnica | Uso pelo Coper/Octo | |--------|---------|---------------------| | Initial Access | [[t1476-deliver-malicious-app\|T1476]] | APKs falsos via Google Play, smishing, paginas de update fraudulentas | | Initial Access | [[t1444-masquerade-as-legitimate-application\|T1444]] | Impersonifica Bancolombia, Chrome, apps bancarios, utilidades | | Defense Evasion | [[t1406-obfuscated-files\|T1406]] | Código obfuscado, payload baixado dinâmicamente, DEX em memoria | | Collection | [[t1513-screen-capture\|T1513]] | VNC via MediaProjection - 1 screenshot/segundo em tempo real | | Collection | [[t1412-capture-sms\|T1412]] | Intercepta SMS e aborta broadcast de notificação para vitima | | Credential Access | [[t1417-input-capture\|T1417]] | Keylogging de credenciais, PINs e padroes de desbloqueio | | Command and Control | [[t1436-commonly-used-ports\|T1436]] | C2 via porta hardcoded; comunicação AES cifrada | ## Relevância LATAM/Brasil > [!danger] Colombia como Ponto Zero - LATAM como Laboratorio > O Coper escolheu a Colombia como ponto de partida em 2021, usando o contexto bancario local (Bancolombia Personas) para aumentar credibilidade. Esta estratégia de contextualizacao regional tornou-se modelo para o MaaS: compradores podem configurar injects específicos para cada pais e banco alvo. Peru e outros paises sul-americanos foram alvos em 2022, com campanha específica documentada. > [!warning] MaaS - O Modelo que Democratiza o Crime Mobile > O modelo Malware-as-a-Service do Coper/Octo democratizou o Android banking trojan: qualquer comprador acessa painel e builder, escolhe alvos, configura injects para bancos específicos e recebe bots ativos. Isso significou que em 2022-2024 dezenas de atores distintos usaram o mesmo código contra bancos em diferentes paises simultaneamente - explicando a velocidade de expansao global. **Setores impactados:** - [[financial|Financeiro]] - bancos em Colombia, Peru, Portugal, Espanha, Turquia, EUA, UK - Servicos de criptomoeda - injects para carteiras e exchanges ## Detecção e Defesa > [!tip] Estrategias de Detecção > - **Accessibility Service Abuse:** Monitorar apps solicitando Accessibility Service sem justificativa clara de funcionalidade para usuarios com deficiencia > - **MediaProjection por Non-Video Apps:** Alertar para uso da MediaProjection API por apps que nao sao gravadores de tela ou transmissores de video > - **SMS Broadcast Abortion:** Detectar apps que interceptam e abortam broadcasts de SMS (EXC_SMSRCV) sem permissao explicita > - **PKG Installer from Dropper:** Monitorar instalacoes silenciosas via PackageInstaller API por apps que nao sao stores oficiais > - **C2 Pattern:** Trafico AES cifrado para IPs com certificados X.509 auto-assinados em porta nao-padrao **Controles recomendados:** - Ativar e manter Google Play Protect em todos os dispositivos Android corporativos - Politica MDM proibindo instalacao de APKs de fontes desconhecidas (sideloading) - Auditar periodicamente permissoes de Accessibility Service em dispositivos corporativos - Implementar solução Mobile Threat Defense (MTD) com detecção comportamental - [[m1017-user-training|M1017]] - treinamento anti-smishing e instalacao segura ## Referências - [1](https://www.team-cymru.com/post/coper-octo-a-conductor-for-mobile-mayhem-with-eight-limbs) Team Cymru - Coper/Octo: A Conductor for Mobile Mayhem (2023) - [2](https://thehackernews.com/2022/04/new-octo-banking-trojan-spreading-via.html) The Hacker News - New Octo Banking Trojan Spreading via Fake Apps on Google Play (2022) - [3](https://cyble.com/blog/coper-banking-trojan/) Cyble Research Labs - Coper Banking Trojan analysis (2022) - [4](https://www.virusbulletin.com/uploads/pdf/conference/vb2024/papers/Octopus-Prime-it-didnt-turn-into-a-truck-but-a-widely-spread-Android-botnet.pdf) Virus Bulletin 2024 - Octopus Prime: Widely Spread Android Botnet (2024) - [5](https://any.run/malware-trends/octo/) ANY.RUN - Octo Malware Analysis Overview (2026)