Copybara Mobile Malware

Copybara는 Android 기기를 감염시키도록 특별히 설계된 모바일 위협 제품군입니다. Copybara의 첫 번째 버전은 2021년 하반기에 활성화되었으며 위협과 관련된 대부분의 공격은 2022년에 발생합니다. 위협 배후의 사이버 범죄자는 고도로 맞춤화된 사회 공학 전술에 의존하여 사용자를 속여 다운로드 및 설치하도록 합니다. 그들의 장치에 Copybara. 이러한 특성으로 인해 감염률이 증가할 수 있지만 공격 캠페인의 범위는 제한됩니다. 사이버 범죄자들은 특히 이탈리아 시장을 표적으로 삼을 뿐만 아니라 단일 기관의 사용자를 감염시키는 데에도 집중하고 있습니다.

비정형적 특징은 보이스피싱 단계나 TOAD(Telephone-Oriented Attack Delivery)가 감염 사슬에 추가된 것으로 설명할 수 있다. 첫째, 사용자는 은행에서 온 것처럼 유혹적인 SMS 메시지를 받게 됩니다. 이러한 SMSishing 메시지에는 Android 기기로 전달되는 Copybara 위협으로 연결되는 링크가 포함됩니다. 그러나 해커를 위해 일하는 운영자는 보안 응용 프로그램으로 제공되는 다운로드 및 설치 프로세스를 통해 순진한 사용자를 안내할 은행 에이전트로 가장한 피해자를 호출합니다. 또한 가짜 에이전트는 사용자가 애플리케이션에 광범위한 장치 권한을 부여해야 한다고 주장합니다.

위협적인 기능

피해자의 Android 기기에 일단 설치되면 Copybara는 공격자가 기기 내 사기를 수행할 수 있도록 여러 가지 침입 작업을 수행할 수 있습니다. 악성코드는 작업의 Command-and-Control(C2, C&C) 서버에 원격 연결을 생성할 수 있습니다. 또한 Copybara가 가장하는 합법적인 애플리케이션과 동일하게 보이도록 설계된 가짜 페이지를 표시하는 오버레이 메커니즘을 갖추고 있습니다. Infosec 연구원은 보고서에서 Copybara가 다양한 이탈리아 기관의 애플리케이션으로 가장한 것을 확인했다고 밝혔습니다.

보다 최근의 Copybara 변종에는 위협의 기능을 더욱 확장하는 추가 위협 모듈과 APK가 있습니다. 멀웨어는 접근성 이벤트 로깅이 가능한 외부 모듈을 배포할 수 있으며, 이는 공격자가 기기의 UI 요소를 완전히 제어하고 가시성을 확보할 수 있도록 하는 중요한 단계입니다. 또한 공격자가 특정 키로깅 메커니즘에 액세스할 수 있습니다. 일반적으로 위협 및 추가 모듈을 사용하여 SMS 통신을 모니터링하고 2FA 토큰을 검색하는 등의 작업을 수행할 수 있습니다.