Novo zlonamerno programsko orodje Copybara zdaj oddaljeno prevzame nadzor nad vašo napravo Android

“`html

Copybara, vztrajni Android trojan od leta 2021, se je nedavno razvil z novembrsko posodobitvijo leta 2023. Njegove obsežne zmogljivosti vključujejo beleženje tipkanja, snemanje medijev, prevzem SMS sporočil, zajemanje zaslona, krajo poverilnic in daljinski nadzor naprave.

Pogosto se predstavlja kot priljubljena finančna aplikacija, Copybara cilja na uporabnike v Italiji in Španiji ter jih mami s phishing stranmi, ki posnemajo menjalnice kriptovalut in globalne institucije.

Nova funkcija v zadnji različici je uvedba protokola MQTT za varno komunikacijo s svojim ukazno-nadzornim strežnikom.

Zadnja različica Copybare uporablja MQTT protokol za komunikacijo s C2 strežnikom, kar je lahek protokol, zasnovan za naprave z omejenimi viri in okolja z omejeno pasovno širino, kot so konteksti IoT.

Razvita z uporabo B4A, zakonitega Android okvira za razvoj aplikacij, Copybara pogosto posnema znane finančne institucije v Italiji in Španiji, kot je razvidno iz logotipov, ki jih uporablja, ter različice, zamaskirane kot Google Chrome in IPTV aplikacija, kar še dodatno poudarja njeno sposobnost posnemanja zakonite programske opreme.

Logotipi finančnih institucij, ki jih posnema Copybara.

Copybara malware je sofisticiran Android bančni trojanec, ki cilja na uporabnike prek lažnih (phishing) strani in izkorišča storitev dostopnosti za pridobitev obsežnega nadzora nad napravami žrtev.

Po namestitvi Copybara agresivno poziva uporabnike, da omogočijo storitev dostopnosti, kar malware-ju omogoča manipulacijo z različnimi funkcijami in nastavitvami naprave, vključno s prestrezanjem SMS sporočil, zajemanjem zaslonskih slik in celo zaklepanjem naprave.

Ko je storitev omogočena, Copybara prenese lažne (phishing) strani s C2 strežnika, zasnovane tako, da posnemajo zakonite finančne institucije in menjalnice kriptovalut, s čimer mami žrtve, da vnesejo svoje občutljive podatke, ki se nato prenesejo na C2 strežnik.

Primer zaslonske slike Copybare po omogočeni funkciji storitve dostopnosti.

Njen nabor zmožnosti se razširja preko phishinga in kraje podatkov; lahko tudi prejme ukaze od C2 strežnika, kar ji omogoča izvajanje akcij, kot so zaklepanje naprave, zajemanje zaslonskih slik in prestrezanje SMS sporočil.

Dodatno lahko prenese in namesti druge zlonamerne aplikacije, kar še dodatno širi njene zmožnosti in otežuje njeno odstranitev.

Odprti imenik živega C2 strežnika Copybare, ki gosti lažne (phishing) strani.

Copybara predstavlja pomembno grožnjo za uporabnike Androida, sposobna kraje osebnih in finančnih informacij ter povzroča znatne finančne izgube. Pomembno je, da uporabniki Androida poznajo tveganja, povezana z zlonamernimi aplikacijami, in sprejmejo previdnostne ukrepe za zaščito svojih naprav pred takšnimi grožnjami.

Hudobni akterji za Copybaro uporabljajo phishing povezave (npr. app-link.cc/agricole.apk), da pretentajo žrtve k prenosu lažnih aplikacij z imeni, podobnimi zakonitim bančnim aplikacijam (npr. BBVACodigo.apk, CaixaBankSignNueva.apk). Ko je nameščena, Copybara zlorabi storitve dostopnosti za pridobivanje nadzora nad napravo in krajo prijavnih podatkov.

Po poročanju Zscaler ThreatLabz malware uporablja tudi različne tehnike, kot so beleženje tipkanja, snemanje zvoka in videa ter prestrezanje SMS sporočil za nadaljnji kompromis.

💡 Namig dneva: Izogibajte se nalaganju aplikacij iz nepreverjenih virov in vedno preverite dovoljenja, ki jih aplikacija zahteva ob namestitvi.

Priporočeno branje:

Raziskovalci odkrivajo skrito grožnjo: ‘PEAKLIGHT’ pomnilniški zlonamerni program razkrit