Copybara Mobile Malware

Copybara היא משפחה של איומים ניידים שתוכננה במיוחד להדביק מכשירי אנדרואיד. מאמינים כי הגרסאות הראשונות של Copybara הפכו לפעילות במחצית השנייה של 2021, כאשר רוב ההתקפות שכללו את האיום התרחשו בשנת 2022. פושעי הסייבר שמאחורי האיום מסתמכים על טקטיקות הנדסה חברתית מותאמות במיוחד כדי להערים על משתמשים להוריד ולהתקין Copybara במכשירים שלהם. מאפיינים אלו עשויים להוביל לעלייה בשיעור ההדבקה, אך להגביל את היקף מסעות התקיפה. לא רק שפושעי הסייבר מכוונים ספציפית לשוק האיטלקי, אלא שהם גם מתמקדים בהדבקת משתמשים במוסדות יחידים.

ניתן להסביר את המאפיינים הלא טיפוסיים על ידי הוספת שלב דיוג קולי או TOAD (טלפון מכוון תקיפה) בשרשרת ההדבקה. ראשית, המשתמשים יקבלו הודעות SMS מפתות המוצגות כאילו מגיעות מהבנק שלהם. הודעות SMSishing אלה יכללו קישור שיוביל לאיום Copybara שיימסר למכשיר האנדרואיד שלהם. עם זאת, מפעיל שעובד עבור ההאקרים יתקשר לקורבן המתחזה לסוכן בנק אשר כביכול ינחה את המשתמשים התמימים בתהליך ההורדה וההתקנה של מה שמוצג כאפליקציה אבטחה. הסוכן המזויף גם יתעקש שמשתמשים יעניקו הרשאות מכשיר רחבות לאפליקציה.

תכונות מאיימות

לאחר שהוקמה במכשיר האנדרואיד של הקורבן, Copybara יכולה לבצע מספר רב של פעולות חודרניות המאפשרות לתוקפים לבצע הונאה במכשיר. התוכנה הזדונית יכולה ליצור חיבור מרחוק לשרת Command-and-Control (C2, C&C) של הפעולה. הוא גם מצויד במנגנון שכבת-על המציג דף מזויף שנועד להיראות זהה לאפליקציה הלגיטימית ש-Copybara מתחזה. חוקרי Infosec הצהירו בדו"ח שהם זיהו את קופיבארה המתחזה לאפליקציה ממגוון מוסדות איטלקיים.

גרסאות עדכניות יותר של Copybara נושאות מודולים מאיימים נוספים ו-APK שמרחיבים עוד יותר את יכולות האיום. התוכנה הזדונית יכולה לפרוס מודול חיצוני המסוגל לבצע רישום אירועי Accessibility, צעד מכריע המאפשר לתוקפים לקבל שליטה מלאה ונראות של רכיבי ממשק המשתמש במכשיר. זה גם מאפשר לתוקפים לקבל גישה למנגנון רישום מפתח ספציפי. באופן כללי, האיום והמודולים הנוספים שלו יכולים לשמש לניטור תקשורת SMS, אחזור אסימוני 2FA ועוד.