Copybara Mobile Malware

Copybara — це сімейство мобільних загроз, спеціально розроблених для зараження пристроїв Android. Вважається, що перші версії Copybara стали активними в другій половині 2021 року, причому більшість атак із загрозою відбулися в 2022 році. Кіберзлочинці, які стоять за загрозою, покладаються на спеціально розроблену тактику соціальної інженерії, щоб обманом змусити користувачів завантажити та встановити Copybara на своїх пристроях. Ці характеристики можуть призвести до підвищення рівня зараження, але обмежують масштаб кампаній атак. Кіберзлочинці націлені не лише на італійський ринок, але й на зараження користувачів окремих установ.

Нетипові характеристики можна пояснити додаванням кроку голосового фішингу або TOAD (Telephone-Oriented Attack Delivery) у ланцюжку зараження. По-перше, користувачі отримуватимуть спокусливі SMS-повідомлення, які виглядають так, ніби вони надходять від їхнього банку. Ці SMS-повідомлення міститимуть посилання, яке призведе до доставки загрози Copybara на їх пристрій Android. Однак оператор, який працює на хакерів, зателефонує жертві під виглядом банківського агента, який нібито проведе нічого не підозрюючих користувачів через процес завантаження та встановлення того, що представлено як програма безпеки. Фальшивий агент також наполягатиме на тому, щоб користувачі надавали додатку широкі дозволи на пристрій.

Загрозливі особливості

Після встановлення на пристрої Android жертви Copybara може виконувати безліч втручальних дій, що дозволяє зловмисникам здійснювати шахрайство на пристрої. Зловмисне програмне забезпечення може створити віддалене підключення до командно-контрольного (C2, C&C) сервера операції. Він також оснащений механізмом накладання, який відображає підроблену сторінку, розроблену так, щоб вона виглядала ідентично законній програмі, за яку видає Copybara. Дослідники Infosec заявили у звіті, що вони виявили, що Copybara маскується як програма від різних італійських установ.

Новіші варіанти Copybara містять додаткові загрозливі модулі та APK, які ще більше розширюють можливості загрози. Зловмисне програмне забезпечення може розгорнути зовнішній модуль, який здатний реєструвати події Accessibility, що є важливим кроком, який дозволяє зловмисникам отримати повний контроль і видимість елементів інтерфейсу користувача на пристрої. Це також дає можливість зловмисникам отримати доступ до певного механізму клавіатурного журналу. Загалом загрозу та її додаткові модулі можна використовувати для моніторингу SMS-повідомлень, отримання токенів 2FA тощо.