Copybara Mobile -haittaohjelma

Copybara on mobiiliuhkien perhe, joka on erityisesti suunniteltu tartuttamaan Android-laitteita. Uskotaan, että Copybaran ensimmäiset versiot aktivoituivat vuoden 2021 toisella puoliskolla, ja suurin osa uhkaan liittyvistä hyökkäyksistä tapahtui vuonna 2022. Uhan takana olevat kyberrikolliset luottavat vahvasti räätälöityihin sosiaalisen manipuloinnin taktiikoihin huijatakseen käyttäjiä lataamaan ja asentamaan Copybara laitteillaan. Nämä ominaisuudet voivat johtaa lisääntyneeseen tartuntatasoon, mutta rajoittavat hyökkäyskampanjoiden laajuutta. Kyberrikolliset eivät ainoastaan kohdistu erityisesti Italian markkinoille, vaan he keskittyvät myös yksittäisten instituutioiden käyttäjien tartuttamiseen.

Epätyypilliset ominaisuudet voidaan selittää ääniphishing-vaiheen tai TOAD:n (Telephone-Oriented Attack Delivery) lisäämisellä tartuntaketjuun. Ensinnäkin käyttäjät saavat houkuttelevia tekstiviestejä, jotka esitetään ikään kuin ne tulisivat heidän pankistaan. Nämä tekstiviestit sisältävät linkin, joka johtaa Copybara-uhan toimittamiseen heidän Android-laitteeseensa. Hakkereille työskentelevä operaattori kuitenkin soittaa uhrille, joka esiintyy pankkiagenttina, joka oletettavasti opastaa hyväuskoisia käyttäjiä tietoturvasovelluksena esitetyn lataamisen ja asennuksen läpi. Väärä agentti vaatii myös, että käyttäjät myöntävät laajat laiteoikeudet sovellukselle.

Uhkaavia ominaisuuksia

Kun Copybara on asetettu uhrin Android-laitteeseen, se voi suorittaa lukuisia häiritseviä toimia, joiden avulla hyökkääjät voivat suorittaa laitteessa olevia petoksia. Haittaohjelma voi luoda etäyhteyden toiminnan Command-and-Control (C2, C&C) palvelimeen. Se on myös varustettu peittomekanismilla, joka näyttää väärennetyn sivun, joka on suunniteltu näyttämään identtiseltä Copybaran esittämän laillisen sovelluksen kanssa. Infosecin tutkijat ilmoittivat raportissaan, että he ovat tunnistaneet Copybaran naamioimisen useiden italialaisten instituutioiden sovellukseksi.

Uudemmat Copybara-versiot sisältävät lisää uhkaavia moduuleja ja APK:ta, jotka laajentavat entisestään uhan ominaisuuksia. Haittaohjelma voi ottaa käyttöön ulkoisen moduulin, joka pystyy kirjaamaan saavutettavuustapahtumat, mikä on ratkaiseva askel, jonka avulla hyökkääjät voivat hallita ja nähdä laitteen käyttöliittymäelementit kokonaan. Se antaa myös hyökkääjille mahdollisuuden käyttää tiettyä näppäinlokimekanismia. Yleensä uhkaa ja sen lisämoduuleja voidaan käyttää SMS-viestinnän seuraamiseen, 2FA-tunnuksien hakemiseen ja muuhun.