Copybara Mobile Malware

Copybara on mobiiliohtude perekond, mis on spetsiaalselt loodud Android-seadmete nakatamiseks. Arvatakse, et Copybara esimesed versioonid muutusid aktiivseks 2021. aasta teisel poolel, kusjuures enamik ohuga seotud rünnakutest leidis aset 2022. aastal. Ohu taga olevad küberkurjategijad toetuvad tugevalt kohandatud sotsiaalse manipuleerimise taktikatele, et petta kasutajaid alla laadima ja installima Copybara nende seadmetes. Need omadused võivad suurendada nakatumise määra, kuid piiravad ründekampaaniate ulatust. Küberkurjategijad ei sihi mitte ainult Itaalia turgu, vaid keskenduvad ka üksikute asutuste kasutajate nakatamisele.

Ebatüüpilisi omadusi saab seletada hääle andmepüügi sammu või TOAD (Telephone-Oriented Attack Delivery) lisamisega nakkusahelasse. Esiteks saavad kasutajad meelitavaid SMS-sõnumeid, mis esitatakse justkui nende pangast. Need SMS-sõnumid sisaldavad linki, mis viib Copybara ohu edastamiseni nende Android-seadmesse. Häkkerite heaks töötav operaator helistab aga pangaagendina esinevale ohvrile, kes väidetavalt juhatab pahaaimamatuid kasutajaid turvarakendusena pakutava allalaadimise ja installimise protsessis. Samuti nõuab võlts agent, et kasutajad annaksid rakendusele laialdased seadmeload.

Ohtlikud omadused

Kui Copybara on ohvri Android-seadmes loodud, saab see sooritada palju pealetükkivaid toiminguid, mis võimaldavad ründajatel seadmes pettusi sooritada. Pahavara võib luua kaugühenduse operatsiooni Command-and-Control (C2, C&C) serveriga. Samuti on see varustatud ülekattemehhanismiga, mis kuvab võltslehe, mis on loodud identseks Copybara esitletava seadusliku rakendusega. Infoseci teadlased teatasid aruandes, et nad on tuvastanud, et Copybara maskeering on paljude Itaalia institutsioonide rakendus.

Uuemad Copybara variandid sisaldavad täiendavaid ähvardavaid mooduleid ja APK-d, mis laiendavad ohu võimalusi veelgi. Pahavara võib juurutada välise mooduli, mis on võimeline ligipääsetavuse sündmuste logimiseks, mis on oluline samm, mis võimaldab ründajatel seadme kasutajaliidese elementide üle täielikku kontrolli ja nähtavust. Samuti võimaldab see ründajatel juurdepääsu konkreetsele klahvilogimise mehhanismile. Üldjuhul saab ohtu ja selle lisamooduleid kasutada SMS-side jälgimiseks, 2FA žetoonide hankimiseks ja muuks.