Threat Database Mobile Malware Copybara Mobile Malware

Copybara Mobile Malware

Copybara es una familia de amenazas móviles diseñadas específicamente para infectar dispositivos Android. Se cree que las primeras versiones de Copybara se activaron en la segunda mitad de 2021, y la mayoría de los ataques relacionados con la amenaza tuvieron lugar en 2022. Los ciberdelincuentes detrás de la amenaza se basan en tácticas de ingeniería social muy personalizadas para engañar a los usuarios para que descarguen e instalen Copybara en sus dispositivos. Estas características pueden conducir a un aumento de la tasa de infección, pero limitan el alcance de las campañas de ataque. Los ciberdelincuentes no solo se dirigen específicamente al mercado italiano, sino que también se centran en infectar a los usuarios de instituciones singulares.

Las características atípicas pueden explicarse por la adición de un paso de phishing de voz o TOAD (Entrega de ataque orientada al teléfono) en la cadena de infección. Primero, los usuarios recibirán mensajes SMS atractivos presentados como si vinieran de su banco. Estos mensajes de envío de SMS contendrán un enlace que llevará a la amenaza Copybara a su dispositivo Android. Sin embargo, un operador que trabaja para los piratas informáticos llamará a la víctima haciéndose pasar por un agente bancario que supuestamente guiará a los usuarios desprevenidos a través del proceso de descarga e instalación de lo que se presenta como una aplicación de seguridad. El agente falso también insistirá en que los usuarios otorguen amplios permisos de dispositivo a la aplicación.

Características amenazantes

Una vez establecida en el dispositivo Android de la víctima, Copybara puede realizar una multitud de acciones intrusivas que permiten a los atacantes llevar a cabo fraudes en el dispositivo. El malware puede crear una conexión remota al servidor de comando y control (C2, C&C) de la operación. También está equipado con un mecanismo de superposición que muestra una página falsa diseñada para parecer idéntica a la aplicación legítima que se hace pasar por Copybara. Los investigadores de Infosec declararon en un informe que han identificado a Copybara disfrazada como una aplicación de una variedad de instituciones italianas.

Las variantes más recientes de Copybara llevan módulos amenazantes adicionales y APK que amplían aún más las capacidades de la amenaza. El malware puede implementar un módulo externo que es capaz de registrar eventos de accesibilidad, un paso crucial que permite a los atacantes tener control total y visibilidad de los elementos de la interfaz de usuario en el dispositivo. También hace posible que los atacantes tengan acceso a un mecanismo específico de registro de teclas. En general, la amenaza y sus módulos adicionales se pueden usar para monitorear la comunicación por SMS, recuperar tokens 2FA y más.

Tendencias

Mas Visto

Cargando...