Copybara Mobile Malware

Copybara é uma família de ameaças móveis projetadas especificamente para infectar dispositivos Android. Acredita-se que as primeiras versões do Copybara tenham se tornado ativas no segundo semestre de 2021, com a maioria dos ataques envolvendo a ameaça ocorrendo em 2022. Os cibercriminosos por trás da ameaça dependem de táticas de engenharia social altamente personalizadas para induzir os usuários a baixar e instalar o Copybara nos seus dispositivos. Essas características podem levar a um aumento da taxa de infecção, mas limitam o escopo das campanhas de ataque. Os cibercriminosos não apenas visam especificamente o mercado italiano, mas também estão se concentrando em infectar usuários de instituições singulares.

As características atípicas podem ser explicadas pela adição de uma etapa de phishing de voz ou TOAD (Telephone-Oriented Attack Delivery) na cadeia de infecção. Primeiro, os usuários receberão mensagens SMS atraentes apresentadas como se fossem de seu banco. Essas mensagens SMSishing conterão um link que levará a ameaça Copybara a ser entregue ao seu dispositivo Android. No entanto, um operador que trabalha para os hackers ligará para a vítima se passando por um agente do banco que supostamente orientará os usuários desavisados no processo de download e instalação do que é apresentado como um aplicativo de segurança. O agente falso também insistirá que os usuários concedam amplas permissões de dispositivo ao aplicativo.

Recursos Ameaçadores

Uma vez estabelecido no dispositivo Android da vítima, o Copybara pode executar uma infinidade de ações intrusivas, permitindo que os invasores realizem fraudes no dispositivo. O malware pode criar uma conexão remota com o servidor de Comando e Controle (C2, C&C) da operação. Ele também é equipado com um mecanismo de sobreposição que exibe uma página falsa projetada para parecer idêntica ao aplicativo legítimo pelo qual o Copybara está se passando. Pesquisadores da Infosec declararam em um relatório que identificaram o Copybara disfarçado como um aplicativo de uma variedade de instituições italianas.

As variantes mais recentes do Copybara carregam módulos ameaçadores adicionais e APK que expandem ainda mais os recursos da ameaça. O malware pode implantar um módulo externo capaz de registrar eventos de acessibilidade, uma etapa crucial que permite que os invasores tenham controle total e visibilidade dos elementos da interface do usuário no dispositivo. Também possibilita que os invasores tenham acesso a um mecanismo específico de keylogging. Em geral, a ameaça e seus módulos adicionais podem ser usados para monitorar a comunicação por SMS, recuperar tokens 2FA e muito mais.