Copybara là một Trojan có nhiều khả năng, bao gồm ghi lại thao tác bàn phím, âm thanh, video, tin nhắn SMS, chụp màn hình, đánh cắp thông tin đăng nhập và điều khiển thiết bị bị nhiễm từ xa.
Theo các nhà nghiên cứu, biến thể mới của Copybara đã hoạt động kể từ tháng 11/2023 và sử dụng giao thức truyền thông điệp (Message Queuing Telemetry Transport - MQTT) để thiết lập liên lạc với máy chủ điều khiển và ra lệnh (C2) của nó. Đây chính là sự bổ sung đáng chú ý trong phiên bản mới này. Phần mềm độc hại lạm dụng tính năng Dịch vụ trợ năng vốn có trên các thiết bị Android để kiểm soát thiết bị bị nhiễm.
Tương tự như những phiên bản trước đó, biến thể Copybara mới được phát triển bằng B4A, một framework hợp pháp thường được sử dụng để phát triển ứng dụng Android.
Bên cạnh đó, phần mềm độc hại cũng tiến hành tải xuống các trang web lừa đảo mạo danh các sàn giao dịch tiền điện tử và tổ chức tài chính phổ biến ở Ý cũng như Tây Ban Nha, bằng cách sử dụng logo và tên ứng dụng chính thức. Các trang này được thiết kế để đánh lừa nạn nhân nhập thông tin đăng nhập, từ đó thực hiện các hành vi thu thập thông tin. Logo của một số tổ chức tài chính nổi tiếng bị Copybara mạo danh được hiển thị trong Hình 1.
Hình 1. Logo của các tổ chức tài chính bị Copybara giả mạo
Ngoài ra, các nhà nghiên cứu còn phát hiện một số phiên bản Copybara mạo danh Google Chrome và ứng dụng IPTV (Hình 2).
Hình 2. Ví dụ Copybara ngụy trang thành ứng dụng IPTV
Khi khởi chạy ứng dụng, người dùng sẽ thấy màn hình thông báo do kẻ tấn công xác định yêu cầu người dùng bật quyền Dịch vụ trợ năng cho ứng dụng. Theo đó, Dịch vụ trợ năng là một tính năng hợp pháp trên điện thoại Android để hỗ trợ người dùng khuyết tật, tuy nhiên do bản chất vốn có của dịch vụ, tính năng này có thể cung cấp cho kẻ tấn công quyền kiểm soát rất chi tiết đối với điện thoại của nạn nhân nếu nó được bật.
Trong trường hợp Copybara được cài đặt và không được cấp quyền trợ năng, phần mềm độc hại sẽ liên tục hiển thị thông báo và tin nhắn (như thể hiện trong Hình 3) để ép buộc nạn nhân bật dịch vụ.
Hình 3. Ví dụ về màn hình khởi chạy Copybara khi không bật quyền trợ năng
Nếu dịch vụ được bật, người dùng sẽ thấy một màn hình khác do kẻ tấn công điều khiển (Hình 4).
Hình 4. Ví dụ về Copybara sau khi tính năng Dịch vụ trợ năng được bật
Sau khi tính năng Dịch vụ trợ năng được bật, ứng dụng sẽ ngăn người dùng truy cập một số tùy chọn trong menu Cài đặt (Settings), đảm bảo rằng họ không thể gỡ cài đặt Copybara. Ở chế độ nền, hành vi của phần mềm độc hại được xác định bởi cấu hình của nó. Copybara được thiết kế để tải xuống danh sách các trang web lừa đảo từ máy chủ C2.
Copybara C2 phản hồi bằng tệp ZIP chứa các trang đăng nhập giả mạo để mạo danh các sàn giao dịch tiền điện tử và tổ chức tài chính phổ biến. Trong quá trình phân tích, các nhà nghiên cứu phát hiện ra sự tồn tại của 2 máy chủ C2 đang hoạt động. Hình 5 hiển thị thư mục mở của máy chủ C2 trực tiếp lưu trữ các trang lừa đảo Copybara.
Hình 5. Thư mục mở của máy chủ Copybara C2 đang lưu trữ các trang lừa đảo
Các trang lừa đảo này được thiết kế để đánh lừa người dùng nhẹ dạ nhập thông tin nhạy cảm của họ. Hình 6 là một ví dụ về một trang web lừa đảo như vậy, mạo danh trang đăng nhập của một sàn giao dịch tiền điện tử nổi tiếng.
Hình 6. Ví dụ về trang lừa đảo Copybara được thiết kế trông giống như một sàn giao dịch tiền điện tử phổ biến
Cuối cùng, ứng dụng khởi tạo kết nối đến máy chủ MQTT trên cổng 52997. Copybara đăng ký vào hàng đợi cụ thể được đặt tên là “commands_FromPC” trên máy chủ này. Kết nối cho phép ứng dụng lắng nghe và nhận các lệnh khác nhau do máy chủ C2 gửi.
Bài viết này phân tích các biến thể mới nhất của Trojan Android Copybara nhắm vào các sàn giao dịch tiền điện tử và các tổ chức tài chính tại Ý và Tây Ban Nha. Thông qua việc sử dụng logo và tên ứng dụng tương tự, phần mềm độc hại mạo danh các tổ chức này và đánh lừa nạn nhân nhập thông tin đăng nhập của họ vào các trang lừa đảo.
Mục tiêu là đánh cắp thông tin đăng nhập của người dùng và truy cập trái phép vào tài khoản của họ. Thực tế, Copybara là một Trojan có đầy đủ tính năng có thể được sử dụng trong các cuộc tấn công có chủ đích với các tính năng mạnh mẽ như ghi âm thanh và video, chiếm đoạt tin nhắn SMS và chụp màn hình. Quý độc giả có thể theo dõi Chỉ số thỏa hiệp (IOC) bao gồm mã băm, địa chỉ IP của máy chủ C2 và URL lưu trữ độc hại tại đây.
Hồng Đạt
(Tổng hợp)
11:00 | 29/05/2024
09:00 | 06/03/2024
09:00 | 29/01/2024
09:00 | 25/02/2025
Nhóm tin tặc APT do nhà nước Trung Quốc tài trợ có tên là Salt Typhoon, đã bị phát hiện khai thác 2 lỗ hổng đã biết trong các thiết bị Cisco trong các cuộc tấn công gần đây nhằm vào các nhà cung cấp dịch vụ viễn thông.
09:00 | 30/12/2024
Năm 2024, các cuộc tấn công mạng diễn ra trên mọi lĩnh vực, từ y tế đến tài chính, ngân hàng.... Tin tặc không chỉ đánh cắp dữ liệu cá nhân, mà còn thực hiện các cuộc tấn công ransomware tinh vi, đe dọa trực tiếp đến sự hoạt động của các cơ sở y tế. Nguy hiểm hơn là sự tinh vi và quy mô ngày càng tăng của các cuộc tấn công gián điệp của tin tặc Trung Quốc nhằm vào Hoa Kỳ và các đồng minh. Các chuyên gia tin rằng đây là một động thái chiến lược của Bắc Kinh nhằm có khả năng phá vỡ hoặc phá hủy các dịch vụ quan trọng trong trường hợp căng thẳng địa chính trị leo thang hoặc xung đột quân sự.
15:00 | 24/12/2024
Theo thông tin do đội ngũ chuyên gia của Kaspersky chia sẻ, trong nửa đầu năm 2024, số lượng người dùng bị tội phạm mạng nhắm đến, sử dụng mồi nhử là các trò chơi phổ biến dành cho trẻ em đã tăng 30% so với nửa cuối năm 2023. Sau khi phân tích rủi ro tiềm ẩn đến từ các đối tượng trẻ em có sở thích chơi trò chơi điện tử, các nhà nghiên cứu phát hiện hơn 132.000 trường hợp đã trở thành mục tiêu của tội phạm mạng. Bài viết dưới đây sẽ thông tin tới độc giả các nội dung trong báo cáo mới nhất của Kaspersky về thực trạng tội phạm mạng nêu trên.
12:00 | 23/12/2024
Mỹ tuyên bố thưởng 10 triệu USD cho người cung cấp thông tin về tin tặc Trung Quốc bị cáo buộc tấn công 81.000 thiết bị tường lửa.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Google đã kịp thời khắc phục một lỗ hổng bảo mật nghiêm trọng trên thiết bị USB, giúp hơn một tỷ thiết bị Android thoát khỏi nguy cơ bị tấn công.
11:00 | 11/03/2025
