Perisian Hasad Mudah Alih Copybara

Copybara ialah keluarga ancaman mudah alih yang direka khusus untuk menjangkiti peranti Android. Dipercayai bahawa versi pertama Copybara mula aktif pada separuh kedua 2021, dengan kebanyakan serangan yang melibatkan ancaman berlaku pada 2022. Penjenayah siber di sebalik ancaman itu bergantung pada taktik kejuruteraan sosial yang sangat disesuaikan untuk menipu pengguna supaya memuat turun dan memasang Copybara pada peranti mereka. Ciri-ciri ini mungkin membawa kepada peningkatan kadar jangkitan, tetapi hadkan skop kempen serangan. Bukan sahaja penjenayah siber menyasarkan pasaran Itali secara khusus, tetapi mereka juga menumpukan pada menjangkiti pengguna institusi tunggal.

Ciri-ciri atipikal boleh dijelaskan dengan penambahan langkah pancingan data suara atau TOAD (Telephone-Oriented Attack Delivery) dalam rantaian jangkitan. Pertama, pengguna akan menerima mesej SMS memikat yang disampaikan seolah-olah datang dari bank mereka. Mesej SMSishing ini akan mengandungi pautan yang akan membawa kepada ancaman Copybara dihantar ke peranti Android mereka. Bagaimanapun, pengendali yang bekerja untuk penggodam akan memanggil mangsa menyamar sebagai ejen bank yang kononnya akan membimbing pengguna yang tidak curiga melalui proses memuat turun dan memasang apa yang dibentangkan sebagai aplikasi keselamatan. Ejen palsu juga akan menegaskan bahawa pengguna memberikan kebenaran peranti luas kepada aplikasi itu.

Ciri-ciri Mengancam

Setelah ditubuhkan pada peranti Android mangsa, Copybara boleh melakukan pelbagai tindakan mengganggu yang membolehkan penyerang melakukan Penipuan Pada Peranti. Malware boleh membuat sambungan jauh ke pelayan Command-and-Control (C2, C&C) operasi. Ia juga dilengkapi dengan mekanisme tindanan yang memaparkan halaman palsu yang direka bentuk untuk kelihatan sama dengan aplikasi sah yang Copybara tampilkan. Penyelidik Infosec menyatakan dalam laporan bahawa mereka telah mengenal pasti Copybara menyamar sebagai aplikasi daripada pelbagai institusi Itali.

Varian Copybara yang lebih terkini membawa modul dan APK mengancam tambahan yang memperluaskan lagi keupayaan ancaman itu. Perisian hasad boleh menggunakan modul luaran yang mampu mengelog peristiwa Kebolehcapaian, satu langkah penting yang membolehkan penyerang mempunyai kawalan penuh dan keterlihatan elemen UI pada peranti. Ia juga membolehkan penyerang mempunyai akses kepada mekanisme pengelogan kunci tertentu. Secara umum, ancaman dan modul tambahannya boleh digunakan untuk memantau komunikasi SMS, mendapatkan semula token 2FA dan banyak lagi.