Copybara Mobile Malware

Copybara este o familie de amenințări mobile concepute special pentru a infecta dispozitivele Android. Se crede că primele versiuni ale Copybara au devenit active în a doua jumătate a anului 2021, majoritatea atacurilor care implică amenințarea având loc în 2022. Criminalii cibernetici din spatele amenințării se bazează pe tactici de inginerie socială puternic adaptate pentru a păcăli utilizatorii să descarce și să instaleze Copybara pe dispozitivele lor. Aceste caracteristici pot duce la o rată crescută de infecție, dar limitează domeniul de aplicare al campaniilor de atac. Nu numai că infractorii cibernetici vizează în mod specific piața italiană, dar se concentrează și pe infectarea utilizatorilor unor instituții singulare.

Caracteristicile atipice pot fi explicate prin adăugarea unui pas de phishing vocal sau TOAD (Telephone-Oriented Attack Delivery) în lanțul de infecție. În primul rând, utilizatorii vor primi mesaje SMS atrăgătoare prezentate ca și cum ar veni de la banca lor. Aceste mesaje SMSishing vor conține un link care va duce la livrarea amenințării Copybara pe dispozitivul lor Android. Cu toate acestea, un operator care lucrează pentru hackeri va suna victima dându-se drept agent bancar care se presupune că va ghida utilizatorii nebănuiți prin procesul de descărcare și instalare a ceea ce este prezentat ca o aplicație de securitate. Agentul fals va insista, de asemenea, ca utilizatorii să acorde aplicației permisiuni largi pentru dispozitive.

Caracteristici amenințătoare

Odată stabilit pe dispozitivul Android al victimei, Copybara poate efectua o multitudine de acțiuni intruzive permițând atacatorilor să efectueze Fraudă pe dispozitiv. Malware-ul poate crea o conexiune de la distanță la serverul Command-and-Control (C2, C&C) al operațiunii. De asemenea, este echipat cu un mecanism de suprapunere care afișează o pagină falsă concepută să arate identică cu aplicația legitimă pe care Copybara o prezintă. Cercetătorii Infosec au declarat într-un raport că au identificat Copybara mascată ca o aplicație de la o varietate de instituții italiene.

Variantele Copybara mai recente au module suplimentare de amenințare și APK care extind și mai mult capacitățile amenințării. Malware-ul poate implementa un modul extern care este capabil de înregistrarea evenimentelor de accesibilitate, un pas crucial care permite atacatorilor să aibă control și vizibilitate deplină asupra elementelor UI de pe dispozitiv. De asemenea, face posibil ca atacatorii să aibă acces la un mecanism specific de înregistrare a tastelor. În general, amenințarea și modulele sale suplimentare pot fi folosite pentru a monitoriza comunicarea prin SMS, pentru a prelua jetoane 2FA și multe altele.