Copybara Mobile البرامج الضارة

Copybara هي عائلة من التهديدات المحمولة المصممة خصيصًا لإصابة أجهزة Android. يُعتقد أن الإصدارات الأولى من Copybara أصبحت نشطة في النصف الثاني من عام 2021 ، مع وقوع معظم الهجمات التي تنطوي على تهديد في عام 2022. ويعتمد مجرمو الإنترنت الذين يقفون وراء التهديد على تكتيكات الهندسة الاجتماعية المصممة بشكل كبير لخداع المستخدمين للتنزيل والتثبيت Copybara على أجهزتهم. قد تؤدي هذه الخصائص إلى زيادة معدل الإصابة ، ولكنها تحد من نطاق حملات الهجوم. لا يستهدف مجرمو الإنترنت السوق الإيطالية على وجه التحديد فحسب ، بل يركزون أيضًا على إصابة مستخدمي المؤسسات الفردية.

يمكن تفسير الخصائص غير النمطية من خلال إضافة خطوة التصيد الصوتي أو TOAD (تسليم الهجوم الموجه عبر الهاتف) في سلسلة العدوى. أولاً ، سيتلقى المستخدمون رسائل نصية قصيرة جذابة مقدمة كما لو كانت قادمة من بنكهم. ستحتوي رسائل SMSishing هذه على رابط يؤدي إلى تسليم تهديد Copybara إلى جهاز Android الخاص بهم. ومع ذلك ، فإن المشغل الذي يعمل مع المتسللين سوف يتصل بالضحية متنكرا في صورة وكيل بنك من المفترض أن يوجه المستخدمين المطمئنين من خلال عملية تنزيل وتثبيت ما يتم تقديمه كتطبيق أمان. سيصر الوكيل الزائف أيضًا على أن يمنح المستخدمون أذونات واسعة للجهاز للتطبيق.

ميزات التهديد

بمجرد إنشائه على جهاز Android الخاص بالضحية ، يمكن لـ Copybara تنفيذ العديد من الإجراءات التدخلية التي تسمح للمهاجمين بتنفيذ عملية احتيال على الجهاز. يمكن للبرامج الضارة إنشاء اتصال عن بُعد بخادم الأوامر والتحكم (C2 ، C&C) للعملية. كما أنها مزودة بآلية تراكب تعرض صفحة مزيفة مصممة لتبدو متطابقة مع التطبيق الشرعي الذي تتظاهر به Copybara. ذكر باحثو Infosec في تقرير أنهم حددوا Copybara متنكرًا كتطبيق من مجموعة متنوعة من المؤسسات الإيطالية.

تحتوي متغيرات Copybara الأحدث على وحدات تهديد إضافية و APK تعمل على توسيع قدرات التهديد. يمكن للبرامج الضارة نشر وحدة خارجية قادرة على تسجيل أحداث إمكانية الوصول ، وهي خطوة حاسمة تسمح للمهاجمين بالتحكم الكامل ورؤية عناصر واجهة المستخدم على الجهاز. كما أنه يجعل من الممكن للمهاجمين الوصول إلى آلية محددة لتسجيل لوحة المفاتيح. بشكل عام ، يمكن استخدام التهديد ووحداته الإضافية لمراقبة اتصالات SMS ، واسترداد الرموز 2FA والمزيد.