Copybara Mobile Malware

Цопибара је породица мобилних претњи посебно дизајнираних да заразе Андроид уређаје. Верује се да су прве верзије Цопибаре постале активне у другој половини 2021. године, при чему се већина напада који укључују претњу догодила 2022. Сајбер-криминалци који стоје иза претње ослањају се на строго прилагођене тактике друштвеног инжењеринга да преваре кориснике да преузму и инсталирају Цопибара на њиховим уређајима. Ове карактеристике могу довести до повећане стопе инфекције, али ограничавају обим кампања напада. Сајбер криминалци не само да циљају на италијанско тржиште, већ се фокусирају и на заразу корисника појединачних институција.

Атипичне карактеристике се могу објаснити додатком корака гласовног пхисхинг-а или ТОАД-а (Телепхоне-Ориентед Аттацк Деливери) у ланцу инфекције. Прво, корисници ће примати примамљиве СМС поруке представљене као да долазе из њихове банке. Ове СМСисхинг поруке ће садржати везу која ће довести до испоруке Цопибара претње на њихов Андроид уређај. Међутим, оператер који ради за хакере ће позвати жртву која се представља као агент банке који ће наводно водити несуђене кориснике кроз процес преузимања и инсталирања онога што је представљено као безбедносна апликација. Лажни агент ће такође инсистирати да корисници дају широке дозволе уређаја апликацији.

Претеће карактеристике

Када се једном успостави на Андроид уређају жртве, Цопибара може да изврши мноштво наметљивих радњи омогућавајући нападачима да изврше превару на уређају. Малвер може да створи удаљену везу са сервером за команду и контролу (Ц2, Ц&Ц) операције. Такође је опремљен механизмом преклапања који приказује лажну страницу дизајнирану да изгледа идентично легитимној апликацији за коју се Цопибара представља. Истраживачи Инфосец-а су у извештају навели да су идентификовали Цопибара маскирану апликацију из разних италијанских институција.

Новије варијанте Цопибаре садрже додатне претеће модуле и АПК који додатно проширују могућности претње. Злонамерни софтвер може да примени спољни модул који је способан да евидентира догађаје приступачности, што је кључни корак који омогућава нападачима да имају потпуну контролу и видљивост елемената корисничког интерфејса на уређају. Такође омогућава нападачима да имају приступ одређеном механизму за бележење података. Генерално, претња и њени додатни модули се могу користити за надгледање СМС комуникације, преузимање 2ФА токена и још много тога.