Copybara Mobile Malware

Copybara är en familj av mobilhot speciellt utformade för att infektera Android-enheter. Man tror att de första versionerna av Copybara blev aktiva under andra halvan av 2021, och de flesta attackerna som involverade hotet ägde rum 2022. De cyberbrottslingar som ligger bakom hotet förlitar sig på starkt skräddarsydda social ingenjörskonst för att lura användare att ladda ner och installera Copybara på sina enheter. Dessa egenskaper kan leda till en ökad infektionsfrekvens, men begränsar attackkampanjernas omfattning. Inte bara riktar sig cyberbrottslingarna specifikt till den italienska marknaden, utan de fokuserar också på att infektera användare av enskilda institutioner.

De atypiska egenskaperna kan förklaras med tillägget av ett röstnätfiskesteg eller TOAD (Telephone-Oriented Attack Delivery) i infektionskedjan. Först kommer användare att få lockande SMS-meddelanden som presenteras som om de kommer från deras bank. Dessa SMS-meddelanden kommer att innehålla en länk som leder till att Copybara-hotet levereras till deras Android-enhet. En operatör som arbetar för hackarna kommer dock att ringa offret som utger sig för att vara en bankagent som ska vägleda intet ont anande användare genom processen att ladda ner och installera det som presenteras som en säkerhetsapplikation. Den falska agenten kommer också att insistera på att användare ger breda enhetsbehörigheter till applikationen.

Hotande egenskaper

När Copybara väl har etablerats på offrets Android-enhet kan de utföra en mängd påträngande åtgärder som gör det möjligt för angriparna att utföra bedrägeri på enheten. Skadlig programvara kan skapa en fjärranslutning till kommando-och-kontroll-servern (C2, C&C) för operationen. Den är också utrustad med en överlagringsmekanism som visar en falsk sida utformad för att verka identisk med den legitima applikation som Copybara poserar som. Infosec-forskare uppgav i en rapport att de har identifierat Copybara maskerad som en applikation från en mängd olika italienska institutioner.

Nyare Copybara-varianter har ytterligare hotfulla moduler och APK som ytterligare utökar hotets möjligheter. Skadlig programvara kan distribuera en extern modul som kan logga händelser för tillgänglighet, ett avgörande steg som tillåter angriparna att ha full kontroll och synlighet över UI-elementen på enheten. Det gör det också möjligt för angriparna att ha tillgång till en specifik nyckelloggningsmekanism. I allmänhet kan hotet och dess tilläggsmoduler användas för att övervaka SMS-kommunikation, hämta 2FA-tokens och mer.