Copybara Mobile Malware

Copybara est une famille de menaces mobiles spécialement conçues pour infecter les appareils Android. On pense que les premières versions de Copybara sont devenues actives au cours du second semestre 2021, la plupart des attaques impliquant la menace ayant eu lieu en 2022. Les cybercriminels à l'origine de la menace s'appuient sur des tactiques d'ingénierie sociale fortement personnalisées pour inciter les utilisateurs à télécharger et à installer. Copybara sur leurs appareils. Ces caractéristiques peuvent entraîner une augmentation du taux d'infection, mais limitent la portée des campagnes d'attaque. Non seulement les cybercriminels ciblent spécifiquement le marché italien, mais ils se concentrent également sur l'infection des utilisateurs d'institutions singulières.

Les caractéristiques atypiques s'expliquent par l'ajout d'une étape de phishing vocal ou TOAD (Telephone-Oriented Attack Delivery) dans la chaîne d'infection. Tout d'abord, les utilisateurs recevront des SMS leurres présentés comme provenant de leur banque. Ces messages SMSishing contiendront un lien qui conduira à la diffusion de la menace Copybara sur leur appareil Android. Cependant, un opérateur travaillant pour les pirates appellera la victime en se faisant passer pour un agent bancaire censé guider les utilisateurs sans méfiance tout au long du processus de téléchargement et d'installation de ce qui est présenté comme une application de sécurité. Le faux agent insistera également pour que les utilisateurs accordent de larges autorisations de périphérique à l'application.

Caractéristiques menaçantes

Une fois établi sur l'appareil Android de la victime, Copybara peut effectuer une multitude d'actions intrusives permettant aux attaquants de commettre une fraude sur l'appareil. Le malware peut créer une connexion à distance au serveur Command-and-Control (C2, C&C) de l'opération. Il est également équipé d'un mécanisme de superposition qui affiche une fausse page conçue pour apparaître identique à l'application légitime que Copybara se fait passer pour. Les chercheurs d'Infosec ont déclaré dans un rapport qu'ils avaient identifié Copybara se faisant passer pour une application de diverses institutions italiennes.

Les variantes plus récentes de Copybara comportent des modules menaçants supplémentaires et des APK qui étendent encore les capacités de la menace. Le logiciel malveillant peut déployer un module externe capable de journaliser les événements d'accessibilité, une étape cruciale permettant aux attaquants d'avoir un contrôle et une visibilité complets des éléments de l'interface utilisateur sur l'appareil. Il permet également aux attaquants d'avoir accès à un mécanisme de keylogging spécifique. En général, la menace et ses modules supplémentaires peuvent être utilisés pour surveiller la communication SMS, récupérer des jetons 2FA et plus encore.