Copybara Android zlonamjerni softver

AUTOR ·

Copybara  je sofisticirani oblik mobilnog zlonamjernog softvera koji cilja korisnike novom verzijom prvenstveno u Evropi od kraja 2023. godine. Ova vrsta zlonamjernog softvera se maskira kao legitimne aplikacije, često povezane sa bankarstvom ili razmjenom kriptovaluta, navodeći žrtve da ga preuzmu na svoje uređaje na različite načine.

Copybara

Copybara Android zlonamjerni softver; Source: Bing Image Creator

COPYBARA ZLONAMJERNI SOFTVER

Copybara je vrsta zlonamjernog softvera dizajnirana da prevari korisnike da ga preuzmu i instaliraju oponašanjem legitimnih aplikacija sa sličnim imenima i logotipima. Zlonamjerni softver navodi korisnike da ga preuzmu na svoje uređaje na različite načine kao što su phishing elektronske poruke, lažne prodavnice aplikacija ili čak vishing napadi.

Oponašanjem imena i logotipa popularnih aplikacija, Copybara je u stanju da zaobiđe bezbjednosne mjere i dobije pristup osjetljivim korisničkim informacijama, uključujući akreditive za prijavu i finansijske podatke. Jednom instaliran, zlonamjerni softver dobija neovlašteni pristup korisničkim nalozima, krade akreditive i snima audio i video, između ostalog.

 

Funkcionisanje

Primarni cilj Copybara zlonamjernog softvera je da ukrade korisničke akreditive za različite bankarske usluge na internetu i razmjene kriptovaluta. Ovaj cilj postiže kombinacijom tehnika kao što su phishing stranice, praćenje korisničkog unosa (eng. keylogging), presretanje SMS poruka i napadi čovjek u sredini (eng. Man-in-the-Middle Attack – MitM). Primijećeno je da Copybara cilja institucije kao što su BBVA, CaixaBank, Mediobanca, BNL i druge, zbog čega je neophodno za bezbjednosno osoblje da pažljivo nadgleda domene i IP adrese ovih organizacija.

Jedna od najnovijih varijanti Copybara koristi jedinstveni metod za širenje: vishing napade. U ovom vektoru napada, žrtve primaju telefonski poziv od zlonamjernog aktera koji se predstavlja kao predstavnik banke ili finansijske institucije. Zlonamjerni akter ubjeđuje žrtvu da postoji problem sa njihovim nalogom i savjetuje im da preuzmu i instaliraju mobilnu aplikaciju kako bi ga riješili. Jednom instaliran, Copybara dobija pristup uređaju i počinje sa svojim zlonamjernim aktivnostima.

Druga varijanta Copybara koristi MQTT protokol za komunikaciju sa komandnim i kontrolnim serverom (C2). Ovaj metod omogućava zlonamjernim akterima da šalju komande zaraženim uređajima u realnom vremenu, omogućavajući im da preuzmu phishing stranice koje imitiraju različite berze kriptovaluta i finansijske institucije. Zlonamjerni softver pokreće vezu sa MQTT serverom na portu 52997 što mu pruža mogućnost da sluša i prima komande sa C2 servera, omogućavajući zlonamjernim akterima da daljinski kontrolišu zaražene uređaje.

Jednom instaliran, Copybara zlonamjerni softver može da zloupotrebljava usluge pristupačnosti, snima audio i video, da presreće SMS poruke, da pravi snimke ekrana i da obavlja druge zlonamjerne aktivnosti. Takođe sprečava korisnike da pristupe nekim opcijama u meniju Podešavanja (eng. Settings), osiguravajući da ne mogu da ga izbrišu sa uređaja ili onemoguće njegove funkcije. U pozadini, ponašanje zlonamjernog softvera je određeno njegovom konfiguracijom.

Zlonamjerni softver preuzima listu phishing stranica sa C2 servera i odgovara sa ZIP datotekom koja sadrži lažne stranice za prijavu koje oponašaju popularne berze kriptovaluta i finansijske institucije. Ove lažne internet stranice su dizajnirane da prevare korisnike da unesu svoje akreditive, koji se zatim šalju nazad zlonamjernim akterima na eksploataciju. Tokom analize, istraživači su otkrili postojanje dva operativna C2 servera koji aktivno opslužuju ove phishing stranice.

 

ZAKLJUČAK

Copybara je ozbiljna prijetnja koja može prouzrokovati značajnu štetu kako pojedincima tako i organizacijama. Korištenje phishing stranica za krađu akreditiva je uobičajena taktika koju koriste zlonamjerni akteri, ali dodavanje funkcija poput usluge pristupačnosti i sofisticiranih mogućnosti kao što su audio i video snimanje, presretanje SMS poruka snimanje ekrana čine Copybara posebno opasnim zlonamjernim softverom. Zabrinjava činjenica da postoje dva operativna C2 servera koji aktivno opslužuju phishing stranice. Ovo ukazuje da je Copybara vjerovatno u širokoj upotrebi i da je broj potencijalnih žrtava značajan.

Za pojedince je važno da budu oprezni prilikom preuzimanja i instaliranja aplikacija, posebno onih za koje se smatra da su aplikacije za mobilno bankarstvo ili druge finansijske usluge. Organizacije takođe treba da preduzmu korake da zaštite svoje mreže od Copybara i sličnih prijetnji. Ovo uključuje primjenu jakih kontrola pristupa, redovno ažuriranje sistema, edukaciju zaposlenih o phishing napadima i praksama bezbjednog pregledanja i praćenje mrežnog saobraćaja u potrazi za znakovima zlonamjerne aktivnosti.

 

ZAŠTITA

Da bi se zaštitili od Copybara zlonamjernog softvera, neophodno je biti svjestan njegovih taktika i preduzeti preventivne mjere. Evo nekoliko koraka koje se mogu preduzeti u cilju smanjena rizika od infekcije od strane ovog ovog sofisticiranog zlonamjernog softvera:

  1. Osigurati da su i operativni sistem i instalirane aplikacije ažurirani sa najnovijim bezbjednosnim ispravkama. Ovo će pomoći u zaštiti od poznatih ranjivosti koje bi Copybara ili sličan zlonamjerni softver mogao da iskoristi,
  2. Instalirati aplikacije samo iz pouzdanih izvora, kao što su zvanične prodavnice aplikacija poput Google Play Store ili Apple App Store. Zlonamjerni akteri često distribuiraju svoj zlonamjerni softver preko nezvaničnih kanala, pa je potrebno izbjegavati učitavanje aplikacija iz drugih izvora kad god je to moguće,
  3. Prilikom instalacije aplikacija voditi računa o dozvolama koje im se daju. Dozvoliti pristup samo osjetljivim podacima i funkcijama koje su neophodne za namjeravanu upotrebu aplikacije. Biti posebno oprezan kada se omogućavaju usluge pristupačnosti ili druge napredne funkcije, jer one mogu ograničiti sposobnost otkrivanja i uklanjanja zlonamjernog softvera,
  4. Kreirati složene lozinke koristeći kombinaciju slova, brojeva i simbola i izbjegavati korišćenje iste lozinke za više naloga. Razmisliti o primjeni autentifikacije u više koraka (eng. multi-factor authentication – MFA) gdje god je to moguće da bi se omogućio dodatni nivo bezbjednosti,
  5. Redovno pregledati svoje finansijske transakcije i druge osjetljive podatke povezane sa korisničkim internet nalozima. Ako se primijeti bilo kakav neovlašten pristup ili sumnjiva aktivnost, odmah se obratiti pružaocu usluge,
  6. Biti u toku sa najnovijim trendovima i pratnjama u sajber bezbjednosti prateći renomirane izvore vesti i organizacije iz oblasti bezbjednosti. Ovo će pomoći da korisnici ostanu svjesni novih zlonamjernih softvera kao što je Copybara i da nauče kako da se zaštitite od njih,
  7. Razmisliti o ulaganju u sveobuhvatni paket za bezbjednost mobilnih uređaja koji uključuje funkcije kao što su antivirusna zaštita, nadgledanje aplikacija i internet filtriranje. Ova rješenja mogu pomoći u otkrivanju i uklanjanju prijetnji pre nego što izazovu štetu,
  8. Phishing napadi su jedan od Copybara primarnih metoda distribucije. Biti oprezan prilikom klikova na vezu ili prilikom preuzimanja priloga iz nepoznatih izvora, posebno onih koji traže osjetljive informacije kao što su korisnička imena, lozinke ili kodovi za autentifikaciju u dva koraka. Uvijek provjeriti autentičnost elektronske pošte i internet lokacija pre nego što date bilo kakve lične podatke,
  9. Ako se upravlja sa više uređaja u organizaciji, razmisliti o primjeni robusnog rješenja za bezbjednost mobilnih uređaja (eng. mobile device management – MDM) koje uključuje funkcije kao što su daljinsko brisanje, kontrola aplikacija i praćenje uređaja. Ovo će pomoći da se osigura da osjetljive informacije organizacije ostanu bezbjedne čak i ako je uređaj kompromitovan od strane Copybara ili sličnog zlonamjernog softvera,
  10. Redovno praviti rezervne kopije važnih podataka na mobilnim uređajima da bi se spriječio gubitak podataka u slučaju infekcije Copybara ili drugim oblicima zlonamjernog softvera. Ovo će pomoći da se minimizira uticaj bilo kakvog potencijalnog ugrožavanja bezbjednosti i olakša oporavak od napada.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.