Threat Database Mobile Malware Copybara Mobile Malware

Copybara Mobile Malware

Copybara je rodina mobilných hrozieb špeciálne navrhnutých na infikovanie zariadení so systémom Android. Predpokladá sa, že prvé verzie Copybara sa stali aktívnymi v druhej polovici roku 2021, pričom väčšina útokov zahŕňajúcich hrozbu sa odohrala v roku 2022. Kyberzločinci stojaci za hrozbou sa spoliehajú na silne prispôsobené taktiky sociálneho inžinierstva, aby prinútili používateľov stiahnuť a nainštalovať Copybara na svojich zariadeniach. Tieto vlastnosti môžu viesť k zvýšenej miere infekcie, ale obmedzujú rozsah útočných kampaní. Počítačoví zločinci sa zameriavajú nielen na taliansky trh, ale zameriavajú sa aj na infikovanie používateľov jednotlivých inštitúcií.

Atypické vlastnosti možno vysvetliť pridaním kroku hlasového phishingu alebo TOAD (Telephone-Oriented Attack Delivery) do infekčného reťazca. Po prvé, používatelia dostanú lákavé SMS správy, ktoré vyzerajú, akoby prichádzali z ich banky. Tieto SMS správy budú obsahovať odkaz, ktorý povedie k doručeniu hrozby Copybara do ich zariadenia so systémom Android. Operátor pracujúci pre hackerov však zavolá obeť, ktorá sa vydáva za bankového agenta, ktorý údajne prevedie nič netušiacich používateľov procesom sťahovania a inštalácie toho, čo sa prezentuje ako bezpečnostná aplikácia. Falošný agent bude tiež trvať na tom, aby používatelia udelili aplikácii široké povolenia zariadenia.

Ohrozujúce vlastnosti

Po zavedení do zariadenia Android obete môže Copybara vykonávať množstvo rušivých akcií, ktoré umožňujú útočníkom vykonávať podvody na zariadení. Malvér môže vytvoriť vzdialené pripojenie k serveru Command-and-Control (C2, C&C) operácie. Je tiež vybavený prekrývacím mechanizmom, ktorý zobrazuje falošnú stránku navrhnutú tak, aby vyzerala identicky s legitímnou aplikáciou, za ktorú sa Copybara vydáva. Výskumníci spoločnosti Infosec v správe uviedli, že maskovanie Copybara identifikovali ako aplikáciu od rôznych talianskych inštitúcií.

Novšie varianty Copybara obsahujú ďalšie ohrozujúce moduly a APK, ktoré ďalej rozširujú možnosti hrozby. Malvér môže nasadiť externý modul, ktorý je schopný zaznamenávať udalosti dostupnosti, čo je zásadný krok, ktorý útočníkom umožňuje mať plnú kontrolu a viditeľnosť prvkov používateľského rozhrania na zariadení. Útočníkom tiež umožňuje prístup k špecifickému mechanizmu zaznamenávania kľúčov. Vo všeobecnosti možno hrozbu a jej doplnkové moduly použiť na sledovanie SMS komunikácie, získavanie 2FA tokenov a ďalšie.

Trendy

Najviac videné

Načítava...