Copybara Mobile Malware

Copybara je rodina mobilních hrozeb speciálně navržených k infikování zařízení Android. Předpokládá se, že první verze Copybary se staly aktivními ve druhé polovině roku 2021, přičemž většina útoků zahrnujících hrozbu se odehrála v roce 2022. Kyberzločinci za hrozbou spoléhají na silně přizpůsobené taktiky sociálního inženýrství, aby přiměli uživatele ke stažení a instalaci. Copybara na svých zařízeních. Tyto vlastnosti mohou vést ke zvýšené míře infekce, ale omezují rozsah útočných kampaní. Kyberzločinci se zaměřují nejen na italský trh, ale zaměřují se také na infikování uživatelů jednotlivých institucí.

Atypické vlastnosti lze vysvětlit přidáním kroku hlasového phishingu nebo TOAD (Telephone-Oriented Attack Delivery) do infekčního řetězce. Nejprve uživatelé obdrží lákavé SMS zprávy, které vypadají, jako by přicházely z jejich banky. Tyto SMS zprávy budou obsahovat odkaz, který povede k doručení hrozby Copybara na jejich zařízení Android. Operátor pracující pro hackery však zavolá oběti vydávající se za bankovního agenta, který údajně provede nic netušící uživatele procesem stahování a instalace toho, co je prezentováno jako bezpečnostní aplikace. Falešný agent bude také trvat na tom, aby uživatelé aplikaci udělili široká oprávnění zařízení.

Ohrožující vlastnosti

Jakmile je Copybara zavedena na zařízení Android oběti, může provádět řadu rušivých akcí, které umožňují útočníkům provádět podvody na zařízení. Malware může vytvořit vzdálené připojení k serveru Command-and-Control (C2, C&C) operace. Je také vybaven překryvným mechanismem, který zobrazuje falešnou stránku navrženou tak, aby vypadala identicky s legitimní aplikací, za kterou se Copybara vydává. Výzkumníci Infosec ve zprávě uvedli, že identifikovali maskování Copybara jako aplikaci od různých italských institucí.

Novější varianty Copybara obsahují další ohrožující moduly a APK, které dále rozšiřují možnosti hrozby. Malware může nasadit externí modul, který je schopen protokolovat události Accessibility, což je zásadní krok umožňující útočníkům mít plnou kontrolu a viditelnost prvků uživatelského rozhraní na zařízení. Útočníkům také umožňuje získat přístup ke specifickému mechanismu keyloggingu. Obecně lze hrozbu a její doplňkové moduly použít k monitorování SMS komunikace, získávání 2FA tokenů a další.