Copybara 移动恶意软件
Copybara 是一系列专门设计用于感染 Android 设备的移动威胁。据信,Copybara 的第一个版本在 2021 年下半年开始活跃,其中大多数攻击涉及威胁发生在 2022 年。威胁背后的网络犯罪分子依靠量身定制的社会工程策略来诱骗用户下载和安装Copybara 在他们的设备上。这些特征可能会导致感染率增加,但会限制攻击活动的范围。网络犯罪分子不仅专门针对意大利市场,而且还专注于感染单一机构的用户。
非典型特征可以通过在感染链中添加语音网络钓鱼步骤或 TOAD(面向电话的攻击传递)来解释。首先,用户将收到看似来自银行的诱惑短信。这些 SMSishing 消息将包含一个链接,该链接将导致 Copybara 威胁被传递到他们的 Android 设备。但是,为黑客工作的操作员会打电话给受害者,冒充银行代理人,据称他们会引导毫无戒心的用户完成下载和安装安全应用程序的过程。虚假代理还会坚持要求用户授予应用程序广泛的设备权限。
威胁特征
一旦在受害者的 Android 设备上建立,Copybara 就可以执行大量侵入性操作,允许攻击者进行设备上欺诈。该恶意软件可以创建与操作的命令和控制(C2、C&C)服务器的远程连接。它还配备了一种覆盖机制,可以显示一个虚假页面,该页面旨在看起来与 Copybara 所冒充的合法应用程序相同。 Infosec 研究人员在一份报告中表示,他们已将 Copybara 伪装识别为来自各种意大利机构的应用程序。
最新的 Copybara 变体带有额外的威胁模块和 APK,进一步扩展了威胁的能力。该恶意软件可以部署一个能够记录可访问性事件的外部模块,这是允许攻击者完全控制和查看设备上的 UI 元素的关键步骤。它还使攻击者可以访问特定的键盘记录机制。通常,威胁及其附加模块可用于监控 SMS 通信、检索 2FA 令牌等。
