Copybara Mobile Malware

Copybara është një familje kërcënimesh celulare të krijuara posaçërisht për të infektuar pajisjet Android. Besohet se versionet e para të Copybara u bënë aktive në gjysmën e dytë të 2021, me shumicën e sulmeve që përfshinin kërcënimin që ndodhën në vitin 2022. Kriminelët kibernetikë që qëndrojnë pas kërcënimit mbështeten në taktika të përshtatura shumë të inxhinierisë sociale për të mashtruar përdoruesit për të shkarkuar dhe instaluar Copybara në pajisjet e tyre. Këto karakteristika mund të çojnë në një rritje të shkallës së infeksionit, por kufizojnë shtrirjen e fushatave të sulmit. Jo vetëm që kriminelët kibernetikë synojnë në mënyrë specifike tregun italian, por gjithashtu po fokusohen në infektimin e përdoruesve të institucioneve të veçanta.

Karakteristikat atipike mund të shpjegohen me shtimin e një hapi phishing zanor ose TOAD (Telephone-Oriented Attack Delivery) në zinxhirin e infeksionit. Së pari, përdoruesit do të marrin mesazhe joshëse SMS të paraqitura sikur vijnë nga banka e tyre. Këto mesazhe SMSish do të përmbajnë një lidhje që do të çojë në dërgimin e kërcënimit Copybara në pajisjen e tyre Android. Megjithatë, një operator që punon për hakerat do të thërrasë viktimën duke u paraqitur si një agjent banke që supozohet se do të udhëzojë përdoruesit që nuk dyshojnë përmes procesit të shkarkimit dhe instalimit të asaj që paraqitet si një aplikacion sigurie. Agjenti fals do të insistojë gjithashtu që përdoruesit t'i japin aplikacionit leje të gjera pajisjesh.

Karakteristikat kërcënuese

Pasi të vendoset në pajisjen Android të viktimës, Copybara mund të kryejë një sërë veprimesh ndërhyrëse duke i lejuar sulmuesit të kryejnë Mashtrim në pajisje. Malware mund të krijojë një lidhje në distancë me serverin Command-and-Control (C2, C&C) të operacionit. Ai gjithashtu është i pajisur me një mekanizëm mbivendosjeje që shfaq një faqe të rreme të krijuar për t'u dukur identike me aplikacionin legjitim që po paraqet Copybara. Studiuesit e Infosec deklaruan në një raport se ata kanë identifikuar Copybara të maskuar si një aplikacion nga një sërë institucionesh italiane.

Variantet më të fundit të Copybara përmbajnë module shtesë kërcënuese dhe APK që zgjerojnë më tej aftësitë e kërcënimit. Malware mund të vendosë një modul të jashtëm që është i aftë për regjistrimin e ngjarjeve të aksesueshmërisë, një hap vendimtar që lejon sulmuesit të kenë kontroll të plotë dhe dukshmëri të elementeve të ndërfaqes së përdoruesit në pajisje. Ai gjithashtu bën të mundur që sulmuesit të kenë akses në një mekanizëm specifik të regjistrimit të çelësave. Në përgjithësi, kërcënimi dhe modulet e tij shtesë mund të përdoren për të monitoruar komunikimin SMS, për të tërhequr 2FA argumentet dhe më shumë.