Copybara Mobile Malware

Copybara er en familie af mobile trusler, der er specielt designet til at inficere Android-enheder. Det menes, at de første versioner af Copybara blev aktive i anden halvdel af 2021, hvor de fleste af angrebene, der involverede truslen, fandt sted i 2022. De cyberkriminelle bag truslen er afhængige af stærkt skræddersyede social engineering-taktikker for at narre brugere til at downloade og installere Copybara på deres enheder. Disse karakteristika kan føre til en øget infektionsrate, men begrænser omfanget af angrebskampagnerne. Ikke kun retter de cyberkriminelle sig specifikt mod det italienske marked, men de fokuserer også på at inficere brugere af enkeltstående institutioner.

De atypiske karakteristika kan forklares ved tilføjelsen af et stemme-phishing-trin eller TOAD (Telephone-Oriented Attack Delivery) i infektionskæden. For det første vil brugerne modtage lokkende SMS-beskeder præsenteret, som om de kommer fra deres bank. Disse SMS-beskeder vil indeholde et link, der vil føre til, at Copybara-truslen bliver leveret til deres Android-enhed. En operatør, der arbejder for hackerne, vil dog ringe til offeret, der udgiver sig for at være en bankagent, der angiveligt vil guide de intetanende brugere gennem processen med at downloade og installere det, der præsenteres som en sikkerhedsapplikation. Den falske agent vil også insistere på, at brugere giver brede enhedstilladelser til applikationen.

Truende egenskaber

Når Copybara er etableret på ofrets Android-enhed, kan de udføre en lang række påtrængende handlinger, der giver angriberne mulighed for at udføre svindel på enheden. Malwaren kan oprette en fjernforbindelse til operationens Command-and-Control-server (C2, C&C). Den er også udstyret med en overlejringsmekanisme, der viser en falsk side designet til at fremstå identisk med den legitime applikation, som Copybara poserer som. Infosec-forskere udtalte i en rapport, at de har identificeret Copybara-maskering som en applikation fra en række italienske institutioner.

Nyere Copybara-varianter indeholder yderligere truende moduler og APK, der yderligere udvider truslens muligheder. Malwaren kan implementere et eksternt modul, der er i stand til logning af tilgængelighedshændelser, et afgørende skridt, der gør det muligt for angriberne at have fuld kontrol og synlighed af UI-elementerne på enheden. Det gør det også muligt for angriberne at have adgang til en specifik keylogging-mekanisme. Generelt kan truslen og dens ekstra moduler bruges til at overvåge SMS-kommunikation, hente 2FA-tokens og mere.