Copybara Mobile Malware

Copybara ist eine Familie mobiler Bedrohungen, die speziell dafür entwickelt wurden, Android-Geräte zu infizieren. Es wird angenommen, dass die ersten Versionen von Copybara in der zweiten Hälfte des Jahres 2021 aktiv wurden, wobei die meisten Angriffe im Zusammenhang mit der Bedrohung im Jahr 2022 stattfanden. Die Cyberkriminellen hinter der Bedrohung verlassen sich auf stark maßgeschneiderte Social-Engineering-Taktiken, um Benutzer zum Herunterladen und Installieren von Copybara auf ihren Geräten zu verleiten. Diese Eigenschaften können zu einer erhöhten Infektionsrate führen, schränken aber die Reichweite der Angriffskampagnen ein. Die Cyberkriminellen zielen nicht nur speziell auf den italienischen Markt ab, sondern konzentrieren sich auch darauf, Benutzer einzelner Institutionen zu infizieren.

Die atypischen Merkmale lassen sich durch das Hinzufügen eines Voice-Phishing-Schritts oder TOAD (Telephone-Oriented Attack Delivery) in der Infektionskette erklären. Erstens erhalten Benutzer verlockende SMS-Nachrichten, die so dargestellt werden, als kämen sie von ihrer Bank. Diese SMS-Nachrichten enthalten einen Link, der dazu führt, dass die Copybara-Bedrohung an ihr Android-Gerät gesendet wird. Ein Operator, der für die Hacker arbeitet, ruft das Opfer jedoch an und gibt sich als Bankangestellter aus, der die ahnungslosen Benutzer angeblich durch den Prozess des Herunterladens und Installierens einer als Sicherheitsanwendung präsentierten Anwendung führt. Der gefälschte Agent besteht auch darauf, dass Benutzer der Anwendung umfassende Geräteberechtigungen erteilen.

Bedrohliche Merkmale

Einmal auf dem Android-Gerät des Opfers eingerichtet, kann Copybara eine Vielzahl von aufdringlichen Aktionen ausführen, die es den Angreifern ermöglichen, On-Device-Betrug durchzuführen. Die Malware kann eine Remote-Verbindung zum Command-and-Control-Server (C2, C&C) der Operation herstellen. Es ist auch mit einem Overlay-Mechanismus ausgestattet, der eine gefälschte Seite anzeigt, die so gestaltet ist, dass sie identisch mit der legitimen Anwendung aussieht, als die sich Copybara ausgibt. Forscher von Infosec gaben in einem Bericht an, dass sie Copybara-Masquerading als Anwendung einer Vielzahl italienischer Institutionen identifiziert haben.

Neuere Copybara-Varianten enthalten zusätzliche Bedrohungsmodule und APK, die die Möglichkeiten der Bedrohung weiter erweitern. Die Malware kann ein externes Modul bereitstellen, das in der Lage ist, Barrierefreiheitsereignisse zu protokollieren, ein entscheidender Schritt, der es den Angreifern ermöglicht, die vollständige Kontrolle und Sichtbarkeit der UI-Elemente auf dem Gerät zu erlangen. Es ermöglicht den Angreifern auch den Zugriff auf einen bestimmten Keylogging-Mechanismus. Im Allgemeinen können die Bedrohung und ihre zusätzlichen Module verwendet werden, um die SMS-Kommunikation zu überwachen, 2FA-Token abzurufen und mehr.