Copybara Mobile Malware

Copybara is een familie van mobiele bedreigingen die speciaal zijn ontworpen om Android-apparaten te infecteren. Er wordt aangenomen dat de eerste versies van Copybara in de tweede helft van 2021 actief werden, waarbij de meeste aanvallen met de dreiging plaatsvonden in 2022. De cybercriminelen achter de dreiging vertrouwen op sterk op maat gemaakte social engineering-tactieken om gebruikers te misleiden tot downloaden en installeren Copybara op hun apparaten. Deze kenmerken kunnen leiden tot een verhoogd infectiepercentage, maar beperken de reikwijdte van de aanvalscampagnes. De cybercriminelen richten zich niet alleen specifiek op de Italiaanse markt, maar ze richten zich ook op het infecteren van gebruikers van afzonderlijke instellingen.

De atypische kenmerken kunnen worden verklaard door het toevoegen van een voice phishing-stap of TOAD (Telephone-Oriented Attack Delivery) in de infectieketen. Ten eerste ontvangen gebruikers verleidelijke sms-berichten die worden gepresenteerd alsof ze van hun bank komen. Deze sms-berichten bevatten een link die ertoe leidt dat de Copybara-dreiging op hun Android-apparaat wordt afgeleverd. Een operator die voor de hackers werkt, zal het slachtoffer echter bellen en zich voordoen als een bankagent die zogenaamd de nietsvermoedende gebruikers zal begeleiden bij het downloaden en installeren van wat wordt gepresenteerd als een beveiligingstoepassing. De nep-agent zal er ook op aandringen dat gebruikers brede apparaatmachtigingen aan de toepassing verlenen.

Bedreigende functies

Eenmaal geïnstalleerd op het Android-apparaat van het slachtoffer, kan Copybara een groot aantal intrusieve acties uitvoeren waardoor de aanvallers fraude op het apparaat kunnen uitvoeren. De malware kan een externe verbinding maken met de Command-and-Control (C2, C&C)-server van de operatie. Het is ook uitgerust met een overlay-mechanisme dat een valse pagina weergeeft die is ontworpen om identiek te lijken aan de legitieme applicatie die Copybara zich voordoet. Infosec-onderzoekers verklaarden in een rapport dat ze Copybara hebben geïdentificeerd die zich voordeed als een aanvraag van verschillende Italiaanse instellingen.

Meer recente Copybara-varianten bevatten extra bedreigende modules en APK die de mogelijkheden van de bedreiging verder uitbreiden. De malware kan een externe module implementeren die in staat is tot logboekregistratie van toegankelijkheidsgebeurtenissen, een cruciale stap waardoor de aanvallers volledige controle en zichtbaarheid hebben over de UI-elementen op het apparaat. Het maakt het ook mogelijk voor aanvallers om toegang te krijgen tot een specifiek keylogging-mechanisme. Over het algemeen kunnen de dreiging en de aanvullende modules worden gebruikt om sms-communicatie te bewaken, 2FA-tokens op te halen en meer.