Mobilne złośliwe oprogramowanie Copybara

Copybara to rodzina zagrożeń mobilnych zaprojektowana specjalnie do infekowania urządzeń z systemem Android. Uważa się, że pierwsze wersje oprogramowania Copybara stały się aktywne w drugiej połowie 2021 roku, a większość ataków z udziałem tego zagrożenia miała miejsce w 2022 roku. Copybara na swoich urządzeniach. Te cechy mogą prowadzić do zwiększonego wskaźnika infekcji, ale ograniczają zakres kampanii ataku. Cyberprzestępcy nie tylko atakują konkretnie rynek włoski, ale także skupiają się na infekowaniu użytkowników pojedynczych instytucji.

Nietypowe cechy można wyjaśnić dodaniem etapu phishingu głosowego lub TOAD (Telephone-Oriented Attack Delivery) w łańcuchu infekcji. W pierwszej kolejności użytkownicy będą otrzymywać kuszące wiadomości SMS przedstawione tak, jakby pochodziły z ich banku. Te SMS-y będą zawierać łącze, które doprowadzi do dostarczenia zagrożenia Copybara na ich urządzenie z Androidem. Jednak operator pracujący dla hakerów zadzwoni do ofiary podszywając się pod agenta bankowego, który rzekomo przeprowadzi niczego niepodejrzewających użytkowników przez proces pobierania i instalowania tego, co jest przedstawiane jako aplikacja zabezpieczająca. Fałszywy agent będzie również nalegał, aby użytkownicy przyznali aplikacji szerokie uprawnienia urządzenia.

Funkcje grożące

Po ustanowieniu na urządzeniu z Androidem ofiary, Copybara może wykonywać wiele natrętnych działań, umożliwiając atakującym przeprowadzenie oszustwa na urządzeniu. Szkodnik może utworzyć zdalne połączenie z serwerem Command-and-Control (C2, C&C) operacji. Jest również wyposażony w mechanizm nakładki, który wyświetla fałszywą stronę zaprojektowaną tak, aby wyglądała identycznie jak legalna aplikacja, pod którą podszywa się Copybara. Badacze Infosec stwierdzili w raporcie, że zidentyfikowali maskaradę Copybara jako aplikację różnych włoskich instytucji.

Nowsze warianty Copybara zawierają dodatkowe moduły zagrażające i pakiet APK, które dodatkowo rozszerzają możliwości zagrożenia. Złośliwe oprogramowanie może wdrożyć zewnętrzny moduł, który jest w stanie rejestrować zdarzenia dostępności, co jest kluczowym krokiem umożliwiającym atakującym pełną kontrolę i widoczność elementów interfejsu użytkownika na urządzeniu. Umożliwia również atakującym dostęp do określonego mechanizmu keyloggera. Ogólnie zagrożenie i jego dodatkowe moduły można wykorzystać do monitorowania komunikacji SMS, pobierania tokenów 2FA i nie tylko.