Copybara 移動惡意軟件
Copybara 是一系列專門設計用於感染 Android 設備的移動威脅。據信,Copybara 的第一個版本在 2021 年下半年開始活躍,其中大多數攻擊涉及威脅發生在 2022 年。威脅背後的網絡犯罪分子依靠量身定制的社會工程策略來誘騙用戶下載和安裝Copybara 在他們的設備上。這些特徵可能會導致感染率增加,但會限制攻擊活動的範圍。網絡犯罪分子不僅專門針對意大利市場,而且還專注於感染單一機構的用戶。
非典型特徵可以通過在感染鏈中添加語音網絡釣魚步驟或 TOAD(面向電話的攻擊傳遞)來解釋。首先,用戶將收到看似來自銀行的誘惑短信。這些 SMSishing 消息將包含一個鏈接,該鏈接將導致 Copybara 威脅被傳遞到他們的 Android 設備。但是,為黑客工作的操作員會打電話給受害者,冒充銀行代理人,據稱他們會引導毫無戒心的用戶完成下載和安裝安全應用程序的過程。虛假代理還會堅持要求用戶授予應用程序廣泛的設備權限。
威脅特徵
一旦在受害者的 Android 設備上建立,Copybara 就可以執行大量侵入性操作,允許攻擊者進行設備上欺詐。該惡意軟件可以創建與操作的命令和控制(C2、C&C)服務器的遠程連接。它還配備了一種覆蓋機制,可以顯示一個虛假頁面,該頁面旨在看起來與 Copybara 所冒充的合法應用程序相同。 Infosec 研究人員在一份報告中表示,他們已將 Copybara 偽裝識別為來自各種意大利機構的應用程序。
最新的 Copybara 變體帶有額外的威脅模塊和 APK,進一步擴展了威脅的能力。該惡意軟件可以部署一個能夠記錄可訪問性事件的外部模塊,這是允許攻擊者完全控制和查看設備上的 UI 元素的關鍵步驟。它還使攻擊者可以訪問特定的鍵盤記錄機制。通常,威脅及其附加模塊可用於監控 SMS 通信、檢索 2FA 令牌等。
