Copybara Mobile Malware

Copybara és una família d'amenaces mòbils dissenyades específicament per infectar dispositius Android. Es creu que les primeres versions de Copybara es van activar a la segona meitat del 2021, i la majoria dels atacs que implicaven l'amenaça van tenir lloc el 2022. Els ciberdelinqüents darrere de l'amenaça es basen en tàctiques d'enginyeria social molt adaptades per enganyar els usuaris perquè la baixin i instal·lin. Copybara als seus dispositius. Aquestes característiques poden provocar un augment de la taxa d'infecció, però limiten l'abast de les campanyes d'atac. Els ciberdelinqüents no només es dirigeixen específicament al mercat italià, sinó que també s'estan centrant a infectar usuaris d'institucions singulars.

Les característiques atípiques es poden explicar mitjançant l'addició d'un pas de pesca de veu o TOAD (entrega d'atacs orientats al telèfon) a la cadena d'infecció. En primer lloc, els usuaris rebran missatges SMS atractius presentats com si vinguessin del seu banc. Aquests missatges SMSishing contindran un enllaç que farà que l'amenaça Copybara s'enviï al seu dispositiu Android. Tanmateix, un operador que treballa per als pirates informàtics trucarà a la víctima fent-se passar per un agent bancari que suposadament guiarà els usuaris desprevinguts a través del procés de descàrrega i instal·lació del que es presenta com una aplicació de seguretat. L'agent fals també insistirà que els usuaris concedeixen amplis permisos de dispositiu a l'aplicació.

Característiques amenaçadores

Un cop establert al dispositiu Android de la víctima, Copybara pot realitzar multitud d'accions intrusives que permeten als atacants dur a terme Frau al dispositiu. El programari maliciós pot crear una connexió remota al servidor Command-and-Control (C2, C&C) de l'operació. També està equipat amb un mecanisme de superposició que mostra una pàgina falsa dissenyada per semblar idèntica a l'aplicació legítima que Copybara es presenta. Els investigadors de Infosec van declarar en un informe que han identificat Copybara disfressat com una aplicació de diverses institucions italianes.

Les variants de Copybara més recents porten mòduls amenaçadors addicionals i APK que amplien encara més les capacitats de l'amenaça. El programari maliciós pot desplegar un mòdul extern capaç de registrar esdeveniments d'accessibilitat, un pas crucial que permet als atacants tenir el control i la visibilitat totals dels elements de la interfície d'usuari del dispositiu. També fa possible que els atacants tinguin accés a un mecanisme específic de registre de tecles. En general, l'amenaça i els seus mòduls addicionals es poden utilitzar per controlar la comunicació SMS, recuperar fitxes 2FA i molt més.