Threat Database Mobile Malware Copybara Mobile Malware

Copybara Mobile Malware

Copybara е семейство от мобилни заплахи, специално предназначени за заразяване на устройства с Android. Смята се, че първите версии на Copybara са станали активни през втората половина на 2021 г., като повечето от атаките, включващи заплахата, са извършени през 2022 г. Киберпрестъпниците зад заплахата разчитат на строго персонализирани тактики за социално инженерство, за да подмамят потребителите да изтеглят и инсталират Copybara на техните устройства. Тези характеристики могат да доведат до повишен процент на заразяване, но ограничават обхвата на кампаниите за атака. Киберпрестъпниците не само се насочват конкретно към италианския пазар, но също така се фокусират върху заразяването на потребители на отделни институции.

Нетипичните характеристики могат да се обяснят с добавянето на стъпка за гласов фишинг или TOAD (Telephone-Oriented Attack Delivery) във веригата на заразяване. Първо, потребителите ще получават примамливи SMS съобщения, представени така, сякаш идват от тяхната банка. Тези SMSishing съобщения ще съдържат връзка, която ще доведе до доставката на заплахата Copybara до тяхното Android устройство. Въпреки това, оператор, работещ за хакерите, ще се обади на жертвата, представяйки се за банков агент, който уж ще напътства нищо неподозиращите потребители през процеса на изтегляне и инсталиране на това, което се представя като приложение за сигурност. Фалшивият агент също ще настоява потребителите да предоставят широки разрешения на устройството на приложението.

Заплашителни функции

Веднъж установен на устройството с Android на жертвата, Copybara може да извършва множество натрапчиви действия, позволяващи на нападателите да извършват измама на устройството. Зловредният софтуер може да създаде отдалечена връзка със сървъра за командване и управление (C2, C&C) на операцията. Освен това е оборудван с механизъм за наслагване, който показва фалшива страница, проектирана да изглежда идентична с легитимното приложение, за което се представя Copybara. Изследователите на Infosec заявиха в доклад, че са идентифицирали Copybara, маскирана като приложение от различни италиански институции.

По-новите варианти на Copybara носят допълнителни заплашителни модули и APK, които допълнително разширяват възможностите на заплахата. Злонамереният софтуер може да разположи външен модул, който е в състояние да регистрира събития за достъпност, решаваща стъпка, позволяваща на нападателите да имат пълен контрол и видимост на елементите на потребителския интерфейс на устройството. Той също така дава възможност на нападателите да имат достъп до конкретен механизъм за записване на клавиатурата. Като цяло заплахата и нейните допълнителни модули могат да се използват за наблюдение на SMS комуникация, извличане на 2FA токени и др.

Тенденция

Най-гледан

Зареждане...