Copybara Mobile ļaunprātīga programmatūra

Copybara ir mobilo draudu grupa, kas īpaši izstrādāta Android ierīču inficēšanai. Tiek uzskatīts, ka pirmās Copybara versijas kļuva aktīvas 2021. gada otrajā pusē, un lielākā daļa uzbrukumu bija saistīti ar draudiem, kas notika 2022. gadā. Kibernoziedznieki, kas ir aiz apdraudējuma, paļaujas uz īpaši pielāgotu sociālās inženierijas taktiku, lai krāptu lietotājus, lai tie lejupielādētu un instalētu. Copybara savās ierīcēs. Šīs īpašības var izraisīt paaugstinātu inficēšanās līmeni, taču ierobežo uzbrukuma kampaņu darbības jomu. Kibernoziedznieki ne tikai īpaši vēršas pret Itālijas tirgu, bet arī koncentrējas uz atsevišķu iestāžu lietotāju inficēšanu.

Netipiskās īpašības var izskaidrot ar balss pikšķerēšanas soļa vai TOAD (Telephone Oriented Attack Delivery) pievienošanu infekcijas ķēdē. Pirmkārt, lietotāji saņems vilinošas SMS ziņas, kas tiek pasniegtas tā, it kā tās būtu no viņu bankas. Šajos SMS sūtīšanas ziņojumos būs saite, kas novedīs pie Copybara draudu piegādes viņu Android ierīcē. Tomēr operators, kas strādā hakeru labā, izsauks upuri, kas uzdodas par bankas aģentu, kas it kā vadīs nenojaušos lietotājus, lejupielādējot un instalējot to, kas tiek piedāvāts kā drošības lietojumprogramma. Viltus aģents arī uzstās, lai lietotāji lietojumprogrammai piešķir plašas ierīces atļaujas.

Bīstamas īpašības

Kad Copybara ir izveidota upura Android ierīcē, tā var veikt daudzas uzmācīgas darbības, ļaujot uzbrucējiem veikt krāpšanu ierīcē. Ļaunprātīga programmatūra var izveidot attālu savienojumu ar operācijas Command-and-Control (C2, C&C) serveri. Tas ir arī aprīkots ar pārklājuma mehānismu, kas parāda viltotu lapu, kas izstrādāta tā, lai tā būtu identiska likumīgajai lietojumprogrammai, par kuru uzdodas Copybara. Infosec pētnieki ziņojumā norādīja, ka viņi ir identificējuši Copybara maskēšanos kā pieteikumu no dažādām Itālijas iestādēm.

Jaunākajos Copybara variantos ir papildu apdraudoši moduļi un APK, kas vēl vairāk paplašina apdraudējuma iespējas. Ļaunprātīga programmatūra var izvietot ārēju moduli, kas spēj reģistrēt pieejamības notikumus, kas ir būtisks solis, kas ļauj uzbrucējiem pilnībā kontrolēt un redzēt ierīces lietotāja interfeisa elementus. Tas arī ļauj uzbrucējiem piekļūt noteiktam taustiņu reģistrēšanas mehānismam. Kopumā draudus un tā papildu moduļus var izmantot, lai uzraudzītu SMS saziņu, izgūtu 2FA marķierus un daudz ko citu.