Copybara Mobile Malware
Copybara خانواده ای از تهدیدات موبایلی است که به طور خاص برای آلوده کردن دستگاه های اندرویدی طراحی شده است. اعتقاد بر این است که اولین نسخههای Copybara در نیمه دوم سال 2021 فعال شدند و بیشتر حملات مربوط به تهدید در سال 2022 انجام شد. مجرمان سایبری در پشت این تهدید به تاکتیکهای مهندسی اجتماعی به شدت طراحیشده برای فریب کاربران برای دانلود و نصب متکی هستند. Copybara در دستگاه های خود. این ویژگی ها ممکن است منجر به افزایش نرخ عفونت شود، اما دامنه کمپین های حمله را محدود می کند. مجرمان سایبری نه تنها بازار ایتالیا را به طور خاص هدف قرار می دهند، بلکه بر روی آلوده کردن کاربران مؤسسات منحصر به فرد نیز تمرکز می کنند.
ویژگی های غیر معمول را می توان با افزودن مرحله فیشینگ صوتی یا TOAD (تحویل حمله تلفنی) در زنجیره عفونت توضیح داد. ابتدا، کاربران پیام های اس ام اس فریبنده ای را دریافت خواهند کرد که گویی از بانک آنها ارسال شده است. این پیامهای ارسال پیامک حاوی پیوندی هستند که منجر به ارسال تهدید Copybara به دستگاه اندرویدی آنها میشود. با این حال، اپراتوری که برای هکرها کار میکند، قربانی را صدا میکند که خود را به عنوان یک عامل بانک نشان میدهد و ظاهراً کاربران ناآگاه را از طریق فرآیند دانلود و نصب آنچه به عنوان یک برنامه امنیتی ارائه میشود، راهنمایی میکند. عامل جعلی همچنین اصرار دارد که کاربران مجوزهای گسترده دستگاه را به برنامه اعطا کنند.
ویژگی های تهدید کننده
پس از استقرار در دستگاه اندروید قربانی، Copybara میتواند بسیاری از اقدامات مزاحم را انجام دهد که به مهاجمان اجازه میدهد کلاهبرداری روی دستگاه را انجام دهند. بدافزار می تواند یک اتصال از راه دور به سرور فرماندهی و کنترل (C2, C&C) عملیات ایجاد کند. همچنین مجهز به مکانیزم همپوشانی است که صفحه جعلی را نمایش می دهد که به گونه ای طراحی شده است که شبیه به برنامه قانونی که Copybara معرفی می کند، ظاهر شود. محققان Infosec در گزارشی اعلام کردند که Copybara maskareding را به عنوان یک برنامه از موسسات مختلف ایتالیایی شناسایی کردهاند.
نسخههای اخیر Copybara دارای ماژولهای تهدیدکننده و APK اضافی هستند که قابلیتهای تهدید را بیشتر گسترش میدهند. این بدافزار میتواند یک ماژول خارجی را مستقر کند که قادر به ثبت رویدادهای Accessibility است، گامی حیاتی که به مهاجمان اجازه میدهد تا کنترل و دید کامل عناصر UI روی دستگاه را داشته باشند. همچنین این امکان را برای مهاجمان فراهم می کند که به مکانیزم keylogging خاصی دسترسی داشته باشند. به طور کلی، تهدید و ماژول های اضافی آن را می توان برای نظارت بر ارتباطات SMS، بازیابی توکن های 2FA و موارد دیگر مورد استفاده قرار داد.