Copybara mobil skadelig programvare

Copybara er en familie av mobile trusler spesielt utviklet for å infisere Android-enheter. Det antas at de første versjonene av Copybara ble aktive i andre halvdel av 2021, og de fleste angrepene som involverte trusselen fant sted i 2022. De nettkriminelle bak trusselen er avhengige av sterkt skreddersydde sosialteknikk-taktikker for å lure brukere til å laste ned og installere Copybara på enhetene deres. Disse egenskapene kan føre til økt smittefrekvens, men begrense omfanget av angrepskampanjene. Ikke bare målretter nettkriminelle seg spesifikt på det italienske markedet, men de fokuserer også på å infisere brukere av enkeltstående institusjoner.

De atypiske egenskapene kan forklares ved tilføyelse av et stemme-phishing-trinn eller TOAD (Telephone-Oriented Attack Delivery) i infeksjonskjeden. Først vil brukere motta lokkende SMS-meldinger presentert som om de kommer fra banken deres. Disse SMS-meldingene vil inneholde en lenke som vil føre til at Copybara-trusselen blir levert til Android-enheten deres. En operatør som jobber for hackerne vil imidlertid ringe offeret som utgir seg for å være en bankagent som angivelig vil veilede intetanende brukere gjennom prosessen med å laste ned og installere det som presenteres som en sikkerhetsapplikasjon. Den falske agenten vil også insistere på at brukere gir brede enhetstillatelser til applikasjonen.

Truende egenskaper

Når den er etablert på offerets Android-enhet, kan Copybara utføre en rekke påtrengende handlinger som lar angriperne utføre svindel på enheten. Skadevaren kan opprette en ekstern tilkobling til Command-and-Control-serveren (C2, C&C) for operasjonen. Den er også utstyrt med en overleggsmekanisme som viser en falsk side designet for å virke identisk med den legitime applikasjonen som Copybara utgir seg for. Infosec-forskere uttalte i en rapport at de har identifisert Copybara-maskering som en applikasjon fra en rekke italienske institusjoner.

Nyere Copybara-varianter har flere truende moduler og APK som utvider trusselens evner ytterligere. Skadevaren kan distribuere en ekstern modul som er i stand til logging av tilgjengelighetshendelser, et avgjørende skritt som lar angriperne ha full kontroll og synlighet av UI-elementene på enheten. Det gjør det også mulig for angriperne å ha tilgang til en spesifikk tasteloggingsmekanisme. Generelt kan trusselen og tilleggsmodulene brukes til å overvåke SMS-kommunikasjon, hente 2FA-tokens og mer.