Copybara Mobile Malware

Copybara je družina mobilnih groženj, posebej zasnovanih za okužbo naprav Android. Domneva se, da so prve različice Copybare postale aktivne v drugi polovici leta 2021, večina napadov, ki so vključevali grožnjo, pa se je zgodila leta 2022. Kibernetski kriminalci, ki stojijo za grožnjo, se zanašajo na močno prilagojene taktike socialnega inženiringa, da uporabnike pretentajo v prenos in namestitev Copybara na svojih napravah. Te značilnosti lahko povzročijo povečano stopnjo okužbe, vendar omejujejo obseg napadalnih kampanj. Ne samo, da kiberkriminalci ciljajo posebej na italijanski trg, ampak se osredotočajo tudi na okužbo uporabnikov posameznih institucij.

Netipične značilnosti je mogoče razložiti z dodatkom koraka glasovnega lažnega predstavljanja ali TOAD (telephone-oriented Attack Delivery) v verigi okužbe. Najprej bodo uporabniki prejeli vabljiva SMS sporočila, predstavljena kot da prihajajo iz njihove banke. Ta sporočila SMSishing bodo vsebovala povezavo, ki bo vodila do pošiljanja grožnje Copybara v njihovo napravo Android. Vendar pa bo operater, ki dela za hekerje, poklical žrtev, ki se predstavlja kot bančni agent, ki naj bi nič hudega sluteče uporabnike vodil skozi postopek prenosa in namestitve tega, kar je predstavljeno kot varnostna aplikacija. Lažni agent bo tudi vztrajal, da uporabniki aplikaciji dodelijo široka dovoljenja za naprave.

Nevarne funkcije

Ko je Copybara enkrat vzpostavljena na žrtvini napravi Android, lahko izvede množico vsiljivih dejanj, ki napadalcem omogočijo goljufijo na napravi. Zlonamerna programska oprema lahko ustvari oddaljeno povezavo s strežnikom Command-and-Control (C2, C&C) operacije. Opremljen je tudi s prekrivnim mehanizmom, ki prikazuje lažno stran, zasnovano tako, da je videti identična zakoniti aplikaciji, za katero se predstavlja Copybara. Raziskovalci Infosec so v poročilu navedli, da so Copybaro prepoznali kot maskirano aplikacijo različnih italijanskih institucij.

Novejše različice Copybara vsebujejo dodatne module za grožnje in APK, ki dodatno širijo zmogljivosti grožnje. Zlonamerna programska oprema lahko uvede zunanji modul, ki je zmožen beleženja dogodkov dostopnosti, kar je ključni korak, ki napadalcem omogoča popoln nadzor in vidnost elementov uporabniškega vmesnika v napravi. Prav tako omogoča napadalcem dostop do določenega mehanizma za beleženje tipk. Na splošno je mogoče grožnjo in njene dodatne module uporabiti za spremljanje komunikacije SMS, pridobivanje žetonov 2FA in drugo.