Copybara Mobile Malware

Copybara خانواده ای از تهدیدات موبایلی است که به طور خاص برای آلوده کردن دستگاه های اندرویدی طراحی شده است. اعتقاد بر این است که اولین نسخه‌های Copybara در نیمه دوم سال 2021 فعال شدند و بیشتر حملات مربوط به تهدید در سال 2022 انجام شد. مجرمان سایبری در پشت این تهدید به تاکتیک‌های مهندسی اجتماعی به شدت طراحی‌شده برای فریب کاربران برای دانلود و نصب متکی هستند. Copybara در دستگاه های خود. این ویژگی ها ممکن است منجر به افزایش نرخ عفونت شود، اما دامنه کمپین های حمله را محدود می کند. مجرمان سایبری نه تنها بازار ایتالیا را به طور خاص هدف قرار می دهند، بلکه بر روی آلوده کردن کاربران مؤسسات منحصر به فرد نیز تمرکز می کنند.

ویژگی های غیر معمول را می توان با افزودن مرحله فیشینگ صوتی یا TOAD (تحویل حمله تلفنی) در زنجیره عفونت توضیح داد. ابتدا، کاربران پیام های اس ام اس فریبنده ای را دریافت خواهند کرد که گویی از بانک آنها ارسال شده است. این پیام‌های ارسال پیامک حاوی پیوندی هستند که منجر به ارسال تهدید Copybara به دستگاه اندرویدی آنها می‌شود. با این حال، اپراتوری که برای هکرها کار می‌کند، قربانی را صدا می‌کند که خود را به عنوان یک عامل بانک نشان می‌دهد و ظاهراً کاربران ناآگاه را از طریق فرآیند دانلود و نصب آنچه به عنوان یک برنامه امنیتی ارائه می‌شود، راهنمایی می‌کند. عامل جعلی همچنین اصرار دارد که کاربران مجوزهای گسترده دستگاه را به برنامه اعطا کنند.

ویژگی های تهدید کننده

پس از استقرار در دستگاه اندروید قربانی، Copybara می‌تواند بسیاری از اقدامات مزاحم را انجام دهد که به مهاجمان اجازه می‌دهد کلاهبرداری روی دستگاه را انجام دهند. بدافزار می تواند یک اتصال از راه دور به سرور فرماندهی و کنترل (C2, C&C) عملیات ایجاد کند. همچنین مجهز به مکانیزم همپوشانی است که صفحه جعلی را نمایش می دهد که به گونه ای طراحی شده است که شبیه به برنامه قانونی که Copybara معرفی می کند، ظاهر شود. محققان Infosec در گزارشی اعلام کردند که Copybara maskareding را به عنوان یک برنامه از موسسات مختلف ایتالیایی شناسایی کرده‌اند.

نسخه‌های اخیر Copybara دارای ماژول‌های تهدیدکننده و APK اضافی هستند که قابلیت‌های تهدید را بیشتر گسترش می‌دهند. این بدافزار می‌تواند یک ماژول خارجی را مستقر کند که قادر به ثبت رویدادهای Accessibility است، گامی حیاتی که به مهاجمان اجازه می‌دهد تا کنترل و دید کامل عناصر UI روی دستگاه را داشته باشند. همچنین این امکان را برای مهاجمان فراهم می کند که به مکانیزم keylogging خاصی دسترسی داشته باشند. به طور کلی، تهدید و ماژول های اضافی آن را می توان برای نظارت بر ارتباطات SMS، بازیابی توکن های 2FA و موارد دیگر مورد استفاده قرار داد.