Copybara Mobile Malware

Copybara je obitelj mobilnih prijetnji posebno dizajniranih za zarazu Android uređaja. Vjeruje se da su prve verzije Copybare postale aktivne u drugoj polovici 2021., a većina napada koji uključuju prijetnju dogodila se 2022. Kibernetički kriminalci koji stoje iza prijetnje oslanjaju se na strogo prilagođene taktike društvenog inženjeringa kako bi prevarili korisnike da preuzmu i instaliraju Copybara na svojim uređajima. Ove karakteristike mogu dovesti do povećane stope infekcije, ali ograničavaju opseg kampanja napada. Ne samo da kibernetički kriminalci ciljaju posebno na talijansko tržište, već se usredotočuju i na zarazu korisnika pojedinačnih institucija.

Atipične karakteristike mogu se objasniti dodavanjem koraka glasovnog krađe identiteta ili TOAD (telefonski usmjerena isporuka napada) u lanac infekcije. Prvo, korisnici će primati primamljive SMS poruke predstavljene kao da dolaze iz njihove banke. Ove SMSishing poruke sadržavat će poveznicu koja će dovesti do isporuke prijetnje Copybara na njihov Android uređaj. Međutim, operater koji radi za hakere nazvat će žrtvu predstavljajući se kao bankovni agent koji će navodno voditi korisnike koji ništa ne sumnjaju kroz proces preuzimanja i instaliranja onoga što je predstavljeno kao sigurnosna aplikacija. Lažni agent također će inzistirati da korisnici aplikaciji daju široka dopuštenja uređaja.

Prijeteće značajke

Nakon što se uspostavi na Android uređaju žrtve, Copybara može izvesti mnoštvo intruzivnih radnji koje napadačima omogućuju prijevaru na uređaju. Zlonamjerni softver može stvoriti udaljenu vezu s Command-and-Control (C2, C&C) poslužiteljem operacije. Također je opremljen mehanizmom preklapanja koji prikazuje lažnu stranicu dizajniranu da izgleda identično legitimnoj aplikaciji za koju se Copybara predstavlja. Istraživači Infoseca izjavili su u izvješću da su identificirali Copybaru maskiranu kao aplikaciju raznih talijanskih institucija.

Novije varijante Copybare nose dodatne prijeteće module i APK koji dodatno proširuju mogućnosti prijetnje. Zlonamjerni softver može implementirati vanjski modul koji je sposoban za bilježenje događaja pristupačnosti, što je ključni korak koji napadačima omogućuje potpunu kontrolu i vidljivost elemenata korisničkog sučelja na uređaju. Također omogućuje napadačima da imaju pristup određenom mehanizmu keylogginga. Općenito, prijetnja i njezini dodatni moduli mogu se koristiti za nadzor SMS komunikacije, dohvaćanje 2FA tokena i više.