Copybara Mobile Malware

Copybara è una famiglia di minacce mobili progettata specificamente per infettare i dispositivi Android. Si ritiene che le prime versioni di Copybara siano diventate attive nella seconda metà del 2021, con la maggior parte degli attacchi che coinvolgono la minaccia avvenuti nel 2022. I criminali informatici dietro la minaccia si affidano a tattiche di ingegneria sociale fortemente personalizzate per indurre gli utenti a scaricare e installare Copybara sui propri dispositivi. Queste caratteristiche possono portare a un aumento del tasso di infezione, ma limitano la portata delle campagne di attacco. I criminali informatici non solo prendono di mira il mercato italiano in modo specifico, ma si stanno anche concentrando sull'infezione degli utenti di singole istituzioni.

Le caratteristiche atipiche possono essere spiegate dall'aggiunta di una fase di phishing vocale o TOAD (Telephone-Oriented Attack Delivery) nella catena di infezione. In primo luogo, gli utenti riceveranno messaggi SMS allettanti presentati come se provenissero dalla loro banca. Questi messaggi di SMS conterranno un collegamento che porterà alla consegna della minaccia Copybara al proprio dispositivo Android. Tuttavia, un operatore che lavora per gli hacker chiamerà la vittima fingendosi un agente bancario che presumibilmente guiderà gli utenti ignari attraverso il processo di download e installazione di quella che viene presentata come un'applicazione di sicurezza. L'agente fasullo insisterà anche sul fatto che gli utenti concedano ampi permessi del dispositivo all'applicazione.

Caratteristiche minacciose

Una volta stabilito sul dispositivo Android della vittima, Copybara può eseguire una moltitudine di azioni intrusive consentendo agli aggressori di commettere frodi sul dispositivo. Il malware può creare una connessione remota al server Command-and-Control (C2, C&C) dell'operazione. È inoltre dotato di un meccanismo di sovrapposizione che mostra una pagina falsa progettata per apparire identica all'applicazione legittima che Copybara sta posando. I ricercatori di Infosec hanno dichiarato in un rapporto di aver identificato Copybara mascherato come un'applicazione da una varietà di istituzioni italiane.

Le varianti più recenti di Copybara includono moduli e APK minacciosi aggiuntivi che espandono ulteriormente le capacità della minaccia. Il malware può implementare un modulo esterno in grado di registrare gli eventi di Accessibilità, un passaggio cruciale che consente agli aggressori di avere il pieno controllo e visibilità degli elementi dell'interfaccia utente sul dispositivo. Consente inoltre agli aggressori di accedere a uno specifico meccanismo di keylogging. In generale, la minaccia e i suoi moduli aggiuntivi possono essere utilizzati per monitorare la comunicazione SMS, recuperare token 2FA e altro.