Κακόβουλο λογισμικό Copybara Mobile

Το Copybara είναι μια οικογένεια απειλών για κινητές συσκευές που έχουν σχεδιαστεί ειδικά για να μολύνουν συσκευές Android. Πιστεύεται ότι οι πρώτες εκδόσεις του Copybara έγιναν ενεργές το δεύτερο εξάμηνο του 2021, με τις περισσότερες επιθέσεις που αφορούν την απειλή να λαμβάνουν χώρα το 2022. Οι κυβερνοεγκληματίες πίσω από την απειλή βασίζονται σε πολύ προσαρμοσμένες τακτικές κοινωνικής μηχανικής για να εξαπατήσουν τους χρήστες να κατεβάσουν και να εγκαταστήσουν Copybara στις συσκευές τους. Αυτά τα χαρακτηριστικά μπορεί να οδηγήσουν σε αυξημένο ποσοστό μόλυνσης, αλλά περιορίζουν το εύρος των εκστρατειών επίθεσης. Όχι μόνο οι κυβερνοεγκληματίες στοχεύουν συγκεκριμένα την ιταλική αγορά, αλλά επικεντρώνονται επίσης στη μόλυνση χρηστών μεμονωμένων ιδρυμάτων.

Τα άτυπα χαρακτηριστικά μπορούν να εξηγηθούν με την προσθήκη ενός βήματος φωνητικού phishing ή TOAD (Telephone-Oriented Attack Delivery) στην αλυσίδα μόλυνσης. Πρώτον, οι χρήστες θα λαμβάνουν δελεαστικά μηνύματα SMS που παρουσιάζονται σαν να προέρχονται από την τράπεζά τους. Αυτά τα μηνύματα SMS θα περιέχουν έναν σύνδεσμο που θα οδηγήσει στην παράδοση της απειλής Copybara στη συσκευή τους Android. Ωστόσο, ένας χειριστής που εργάζεται για τους χάκερ θα καλέσει το θύμα υποδυόμενος τραπεζικό πράκτορα που υποτίθεται ότι θα καθοδηγήσει τους ανυποψίαστους χρήστες στη διαδικασία λήψης και εγκατάστασης αυτού που παρουσιάζεται ως εφαρμογή ασφαλείας. Ο πλαστός πράκτορας θα επιμείνει επίσης στους χρήστες να χορηγούν ευρείες άδειες συσκευών στην εφαρμογή.

Απειλητικά χαρακτηριστικά

Μόλις εγκατασταθεί στη συσκευή Android του θύματος, το Copybara μπορεί να εκτελέσει μια πληθώρα παρεμβατικών ενεργειών επιτρέποντας στους εισβολείς να πραγματοποιήσουν Απάτη στη συσκευή. Το κακόβουλο λογισμικό μπορεί να δημιουργήσει μια απομακρυσμένη σύνδεση με τον διακομιστή Command-and-Control (C2, C&C) της λειτουργίας. Είναι επίσης εξοπλισμένο με μηχανισμό επικάλυψης που εμφανίζει μια ψεύτικη σελίδα που έχει σχεδιαστεί για να φαίνεται πανομοιότυπη με τη νόμιμη εφαρμογή που παρουσιάζει το Copybara. Οι ερευνητές της Infosec δήλωσαν σε μια έκθεση ότι έχουν εντοπίσει το Copybara που μεταμφιέζεται ως εφαρμογή από διάφορα ιταλικά ιδρύματα.

Οι πιο πρόσφατες παραλλαγές του Copybara διαθέτουν επιπλέον απειλητικές ενότητες και APK που επεκτείνουν περαιτέρω τις δυνατότητες της απειλής. Το κακόβουλο λογισμικό μπορεί να αναπτύξει μια εξωτερική μονάδα που είναι ικανή για καταγραφή συμβάντων Προσβασιμότητας, ένα κρίσιμο βήμα που επιτρέπει στους εισβολείς να έχουν τον πλήρη έλεγχο και την ορατότητα των στοιχείων διεπαφής χρήστη στη συσκευή. Επιτρέπει επίσης στους εισβολείς να έχουν πρόσβαση σε έναν συγκεκριμένο μηχανισμό καταγραφής κλειδιών. Γενικά, η απειλή και οι πρόσθετες μονάδες της μπορούν να χρησιμοποιηθούν για την παρακολούθηση της επικοινωνίας SMS, την ανάκτηση 2FA token και πολλά άλλα.