Мобильное вредоносное ПО Copybara

Copybara — это семейство мобильных угроз, специально предназначенных для заражения устройств Android. Считается, что первые версии Copybara стали активными во второй половине 2021 года, а большинство атак, связанных с этой угрозой, произошло в 2022 году. Киберпреступники, стоящие за этой угрозой, полагаются на тщательно продуманные тактики социальной инженерии, чтобы заставить пользователей загружать и устанавливать Копибара на свои устройства. Эти характеристики могут привести к увеличению уровня заражения, но ограничивают масштабы кампаний атак. Киберпреступники нацелены не только на итальянский рынок, но и на заражение пользователей отдельных учреждений.

Нетипичные характеристики можно объяснить добавлением в цепочку заражения этапа голосового фишинга или TOAD (Telephone-Oriented Attack Delivery). Во-первых, пользователи будут получать заманчивые SMS-сообщения, оформленные так, как будто они исходят из их банка. Эти SMS-сообщения будут содержать ссылку, которая приведет к доставке угрозы Copybara на их Android-устройство. Однако оператор, работающий на хакеров, позвонит жертве, представившись банковским агентом, который предположительно проведет ничего не подозревающих пользователей через процесс загрузки и установки того, что представлено как приложение безопасности. Поддельный агент также будет настаивать на том, чтобы пользователи предоставляли приложению широкие разрешения на доступ к устройствам.

Угрожающие черты

После установки на Android-устройство жертвы Copybara может выполнять множество навязчивых действий, позволяя злоумышленникам осуществлять мошенничество на устройстве. Вредоносное ПО может создавать удаленное подключение к серверу управления и контроля (C2, C&C) операции. Он также оснащен механизмом наложения, который отображает фальшивую страницу, которая выглядит идентично законному приложению, за которое выдает себя Copybara. Исследователи Infosec заявили в отчете, что они идентифицировали Copybara, маскирующуюся под приложение от различных итальянских учреждений.

Более поздние варианты Copybara содержат дополнительные угрожающие модули и APK, которые еще больше расширяют возможности угрозы. Вредоносное ПО может развернуть внешний модуль, способный регистрировать события специальных возможностей, что является важным шагом, позволяющим злоумышленникам получить полный контроль и видимость элементов пользовательского интерфейса на устройстве. Это также позволяет злоумышленникам получить доступ к определенному механизму регистрации ключей. В целом, угроза и ее дополнительные модули могут использоваться для мониторинга SMS-общения, получения токенов 2FA и многого другого.