Come eliminare il malware Copybara dal vostro dispositivo Android
Scitto da Tomas Meskauskas il
Che tipo di malware è Copybara?
Copybara è il nome di un malware di tipo Android che opera come RAT (Remote Access Trojan), spyware e ruba informazioni. Questo programma dannoso è stato scoperto per la prima volta nell'autunno del 2021 e l'ultima variante è emersa nel novembre del 2023.
Copybara si infiltra nei sistemi sotto le sembianze di varie applicazioni esistenti e dall'aspetto legittimo. È stato utilizzato per colpire gli utenti italiani e spagnoli; tuttavia, le attività del malware potrebbero anche estendersi ad altri territori.
Panoramica del malware Copybara
Come la maggior parte dei programmi dannosi specifici per Android, Copybara abusa dei servizi di accessibilità. Al momento dell'installazione, chiede immediatamente all'utente di attivare questi servizi (se non sono già attivi).
I servizi di accessibilità di Android sono progettati per fornire un ulteriore aiuto nell'interazione con il dispositivo agli utenti che lo richiedono. Hanno un'ampia gamma di funzioni, tra cui la lettura dello schermo, l'interazione con la tastiera, l'esecuzione di gesti/pressioni, ecc. I malware che abusano di tali servizi ne sfruttano appieno le capacità, come nel caso di Copybara.
Una volta concessa l'autorizzazione ai servizi di accessibilità di Android, il programma blocca l'accesso ad alcune impostazioni per impedire alle vittime di disinstallare Copybara. Inoltre, stabilisce una connessione al suo server C&C (Command and Control).
Come accennato nell'introduzione, Copybara è un software dannoso molto versatile. Può eseguire vari comandi sui dispositivi infetti. Il programma ottiene un elenco delle applicazioni installate e uno di quelle che sono state aperte di recente. Può anche lanciare ed eliminare le applicazioni.
Inoltre, Copybara può gestire le notifiche, ad esempio bloccando quelle visualizzate da applicazioni specifiche, nascondendo e persino eliminando questi messaggi/avvisi. Copybara è in grado di registrare lo schermo (cattura dello schermo) e l'audio/video tramite il microfono e le telecamere del dispositivo.
Le sue capacità di gestione degli SMS consentono al malware di raccogliere, eliminare e inviare messaggi di testo a numeri recuperati dal suo server C&C. Può anche effettuare chiamate a numeri specifici. Può anche effettuare telefonate a numeri specifici. Poiché Copybara può inviare SMS ed effettuare chiamate, potrebbe essere utilizzato come Toll Fraud malware.
Abusando dei servizi di accessibilità, il programma può funzionare come keylogger, ossia registrare i tasti premuti. Il modo principale in cui Copybara viene utilizzato è per eseguire attacchi in overlay. Scarica pagine di phishing dal suo server C&C e le utilizza per sovrapporre applicazioni autentiche.
Le sovrapposizioni registrano le informazioni inserite, come le credenziali di accesso (nomi utente/password). Copybara è stato utilizzato per colpire i clienti di istituzioni finanziarie multinazionali (ad esempio, BNP Paribas), nonché aziende regionali spagnole e italiane. Ha anche cercato informazioni associate a portafogli e piattaforme di criptovalute (ad esempio, Binance).
Altre funzionalità di questo programma includono il blocco del dispositivo (potenzialmente dopo aver chiesto all'utente di creare un nuovo modello/password di blocco), l'impostazione dello sfondo su una schermata nera, la cancellazione della cronologia di navigazione, la modifica della luminosità dello schermo, il nascondere/visualizzare l'icona dell'app e così via.
È da notare che gli sviluppatori di malware spesso migliorano il loro software e le loro metodologie. Pertanto, potenziali versioni future di Copybara potrebbero essere più snelle o avere capacità aggiuntive/differenti.
In sintesi, la presenza di software come Copybara sui dispositivi può portare a gravi problemi di privacy, perdite finanziarie e furti di identità.
| Nome | Copybara virus |
| Tipo di minaccia | Malware Android, applicazione dannosa. |
| Nomi di rilevamento | Avast-Mobile (Android:Evo-gen [Trj]), DrWeb (Android.BankBot.15140), ESET-NOD32 (Una variante di Android/Spy.Agent.DAF), Kaspersky (HEUR:Trojan-Dropper.AndroidOS.Hqwar.bk), Elenco completo (VirusTotal) |
| Sintomi | Il dispositivo funziona lentamente, le impostazioni del sistema vengono modificate senza il permesso dell'utente, compaiono applicazioni discutibili, l'utilizzo dei dati e della batteria aumenta in modo significativo, i browser vengono reindirizzati a siti web discutibili. |
| Metodi di distribuzione | Allegati e-mail infetti, pubblicità online dannose, social engineering, applicazioni ingannevoli, siti web truffa. |
| Danni | Furto di informazioni personali (messaggi privati, login/password, ecc.), riduzione delle prestazioni del dispositivo, batteria che si scarica rapidamente, riduzione della velocità di Internet, ingenti perdite di dati, perdite monetarie, furto di identità (le app dannose potrebbero abusare delle app di comunicazione). |
| Rimozione dei malware (Android) | Per eliminare possibili infezioni malware, scansiona il tuo dispositivo mobile con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. |
Esempi di malware specifici per Android
Abbiamo scritto di numerosi programmi dannosi per Android; NGate, Spy.Banker, LianSpy, BlankBot e BingoMod sono solo alcuni dei nostri articoli più recenti.
Il malware può operare in diversi modi; può avere un'ampia applicazione o servire solo a uno scopo ristretto. Tuttavia, a prescindere dal modo in cui il software dannoso opera, la sua presenza su un sistema mette a rischio la sicurezza del dispositivo e dell'utente. Pertanto, tutte le minacce devono essere eliminate immediatamente dopo il loro rilevamento.
Come si è infiltrato Copybara nel mio dispositivo?
In passato, le varianti di Copybara sono state più comunemente proliferate attraverso chiamate vocali fortemente socializzate. Le vittime ricevevano istruzioni per l'installazione del malware attraverso queste telefonate.
È stato osservato che il malware si è infiltrato nei dispositivi sotto le spoglie delle seguenti applicazioni: BNP Paribas, IPTV (Internet Protocol Television) e Google Chrome. Tuttavia, sono probabili altri metodi di distribuzione e camuffamenti. Il phishing e l'ingegneria sociale sono standard nella proliferazione del malware.
Le tecniche di distribuzione più diffuse includono: download drive-by (furtivi/ingannevoli), fonti di download dubbie (ad esempio, siti di file-hosting freeware e gratuiti, reti di condivisione P2P, app store di terze parti, ecc.), allegati/link dannosi nello spam (ad esempio, SMS, chiamate, e-mail, DM/PM, post sui social media, ecc.), truffe online, contenuti pirata, strumenti di attivazione illegale del software ("cracking") e falsi aggiornamenti.
Inoltre, alcuni programmi dannosi possono diffondersi autonomamente attraverso le reti locali e i dispositivi di archiviazione rimovibili (ad esempio, dischi rigidi esterni, chiavette USB, ecc.).
È da notare che il malware può essere trovato su piattaforme di download legittime (ad esempio, Google Play Store). Sebbene la sua longevità su tali piattaforme possa essere breve (poiché le app dannose vengono rapidamente rimosse), i criminali informatici possono ritenerla abbastanza redditizia.
Come evitare l'installazione di malware?
Prima di scaricare o acquistare un software, consigliamo vivamente di effettuare ricerche, ad esempio leggendo le condizioni e le recensioni di esperti/utenti, controllando le autorizzazioni necessarie e verificando la legittimità dello sviluppatore. Tutti i download devono essere effettuati da canali ufficiali e verificati.
Inoltre, il software deve essere attivato e aggiornato utilizzando funzioni/strumenti forniti da sviluppatori legittimi, poiché gli strumenti illegali di attivazione dei prodotti ("cracking") e gli aggiornamenti di terze parti possono contenere malware.
Un'altra raccomandazione è quella di essere vigili quando si naviga, poiché i contenuti online falsi e pericolosi di solito appaiono autentici e innocui. Le e-mail e gli altri messaggi in arrivo devono essere affrontati con cautela. Gli allegati o i link presenti non devono essere aperti, perché possono essere dannosi.
Per l'integrità del dispositivo e la sicurezza dell'utente è fondamentale installare e tenere aggiornato un antivirus affidabile. I programmi di sicurezza devono essere utilizzati per eseguire scansioni regolari del sistema e per rimuovere le minacce/problemi rilevati.
Aspetto dei travestimenti utilizzati dal malware Copybara (fonte immagine - Zscaler):
Aspetto di un overlay di phishing visualizzato dal malware Copybara (fonte immagine - Zscaler):
Menu rapido:
- Introduzione
- Come eliminare la cronologia di navigazione dal browser Chrome?
- Come disattivare le notifiche del browser nel browser web Chrome?
- Come resettare il browser Chrome?
- Come cancellare la cronologia di navigazione dal browser web Firefox?
- Come disattivare le notifiche del browser Firefox?
- Come resettare il browser web Firefox?
- Come disinstallare le applicazioni potenzialmente indesiderate e/o dannose?
- Come avviare il dispositivo Android in "modalità provvisoria"?
- Come controllare l'utilizzo della batteria di varie applicazioni?
- Come controllare l'utilizzo dei dati delle varie applicazioni?
- Come installare gli ultimi aggiornamenti software?
- Come ripristinare lo stato di default del sistema?
- Come disattivare le applicazioni con privilegi di amministratore?
Eliminare la cronologia di navigazione dal browser Chrome:
Toccate il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionate "Cronologia" nel menu a discesa aperto.
Toccare "Cancella dati di navigazione", selezionare la scheda "AVANZATE", scegliere l'intervallo di tempo e i tipi di dati che si desidera eliminare e toccare "Cancella dati".
Disattivare le notifiche del browser nel browser Chrome:
Toccate il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionate "Impostazioni" nel menu a discesa aperto.
Scorrete verso il basso fino a visualizzare l'opzione "Impostazioni del sito" e toccatela. Scorrete verso il basso fino a visualizzare l'opzione "Notifiche" e toccatela.
Individuare i siti Web che forniscono notifiche del browser, toccarli e fare clic su "Cancella e ripristina". In questo modo verranno rimosse le autorizzazioni concesse a questi siti web per l'invio di notifiche. Tuttavia, una volta visitato nuovamente lo stesso sito, questo potrebbe richiedere nuovamente un'autorizzazione. Potete scegliere se concedere o meno questi permessi (se scegliete di rifiutarli, il sito passerà alla sezione "Bloccato" e non vi chiederà più l'autorizzazione).
Reimpostare il browser Chrome:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere verso il basso fino a trovare l'applicazione "Chrome", selezionarla e toccare l'opzione "Memoria".
Toccate "GESTIONE MEMORIZZAZIONE", quindi "CANCELLA TUTTI I DATI" e confermate l'operazione toccando "OK". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete inoltre effettuare nuovamente l'accesso a tutti i siti web.
Cancellare la cronologia di navigazione dal browser Firefox:
Toccate il pulsante "Menu" (tre puntini nell'angolo superiore destro dello schermo) e selezionate "Cronologia" nel menu a discesa aperto.
Scorrere verso il basso fino a visualizzare "Cancella dati privati" e toccarlo. Selezionate i tipi di dati che desiderate rimuovere e toccate "Cancella dati".
Disattivare le notifiche del browser nel browser Firefox:
Visitare il sito web che invia le notifiche del browser, toccare l'icona visualizzata a sinistra della barra degli URL (l'icona non sarà necessariamente un "lucchetto") e selezionare "Modifica impostazioni del sito".
Nel pop-up che si apre, selezionare l'opzione "Notifiche" e toccare "CANCELLA".
Reimpostare il browser web Firefox:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere verso il basso fino a trovare l'applicazione "Firefox", selezionarla e toccare l'opzione "Memoria".
Toccare "CANCELLA DATI" e confermare l'azione toccando "CANCELLA". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete inoltre effettuare nuovamente l'accesso a tutti i siti web.
Disinstallare le applicazioni potenzialmente indesiderate e/o dannose:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere fino a individuare un'applicazione potenzialmente indesiderata e/o dannosa, selezionarla e toccare "Disinstalla". Se, per qualche motivo, non si riesce a rimuovere l'applicazione selezionata (ad esempio, viene visualizzato un messaggio di errore), si dovrebbe provare a utilizzare la "Modalità provvisoria".
Avviare il dispositivo Android in "modalità provvisoria":
La "modalità provvisoria" del sistema operativo Android disabilita temporaneamente l'esecuzione di tutte le applicazioni di terze parti. L'uso di questa modalità è un buon modo per diagnosticare e risolvere vari problemi (ad esempio, rimuovere le applicazioni dannose che impediscono agli utenti di farlo quando il dispositivo funziona "normalmente").
Premete il pulsante "Power" e tenetelo premuto finché non appare la schermata "Power off". Toccare l'icona "Spegnimento" e tenerla premuta. Dopo qualche secondo apparirà l'opzione "Modalità provvisoria" e potrete eseguirla riavviando il dispositivo.
Controllare l'utilizzo della batteria delle varie applicazioni:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Manutenzione del dispositivo" e toccarlo.
Toccare "Batteria" e controllare l'utilizzo di ogni applicazione. Le applicazioni legittime/genuino sono progettate per utilizzare il minor consumo possibile di energia, al fine di fornire la migliore esperienza utente e risparmiare energia. Pertanto, un utilizzo elevato della batteria può indicare che l'applicazione è dannosa.
Controllare l'utilizzo dei dati delle varie applicazioni:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Connessioni" e toccarlo.
Scorrere fino a visualizzare "Utilizzo dati" e selezionare questa opzione. Come per la batteria, le applicazioni legittime/genuini sono progettate per ridurre al minimo l'utilizzo dei dati. Ciò significa che un utilizzo massiccio di dati può indicare la presenza di un'applicazione dannosa. Si noti che alcune applicazioni dannose potrebbero essere progettate per funzionare solo quando il dispositivo è connesso alla rete wireless. Per questo motivo, è necessario controllare l'utilizzo dei dati sia su rete mobile che su rete Wi-Fi.
Se trovate un'applicazione che consuma molti dati anche se non la usate mai, vi consigliamo vivamente di disinstallarla il prima possibile.
Installare gli ultimi aggiornamenti del software:
Mantenere il software aggiornato è una buona pratica quando si tratta di sicurezza del dispositivo. I produttori di dispositivi rilasciano continuamente varie patch di sicurezza e aggiornamenti Android per risolvere errori e bug che possono essere sfruttati dai criminali informatici. Un sistema non aggiornato è molto più vulnerabile, per questo motivo bisogna sempre assicurarsi che il software del dispositivo sia aggiornato.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Aggiornamento software" e toccarlo.
Toccare "Scarica gli aggiornamenti manualmente" e verificare se sono disponibili aggiornamenti. In caso affermativo, installateli immediatamente. Si consiglia inoltre di attivare l'opzione "Scarica automaticamente gli aggiornamenti", che consentirà al sistema di notificare il rilascio di un aggiornamento e/o di installarlo automaticamente.
Ripristinare lo stato di default del sistema:
L'esecuzione di un "Reset di fabbrica" è un buon modo per rimuovere tutte le applicazioni indesiderate, ripristinare le impostazioni predefinite del sistema e pulire il dispositivo in generale. Tuttavia, è necessario tenere presente che tutti i dati presenti nel dispositivo verranno eliminati, comprese le foto, i file video/audio, i numeri di telefono (memorizzati nel dispositivo, non nella scheda SIM), i messaggi SMS e così via. In altre parole, il dispositivo verrà riportato allo stato primordiale.
È anche possibile ripristinare le impostazioni di base del sistema e/o semplicemente le impostazioni di rete.
Andate su "Impostazioni", scorrete verso il basso fino a visualizzare "Informazioni sul telefono" e toccatelo.
Scorrete verso il basso fino a visualizzare "Ripristino" e toccatelo. Ora scegliete l'azione che desiderate eseguire:
"Ripristina impostazioni" - ripristina tutte le impostazioni di sistema ai valori predefiniti;
"Ripristina impostazioni di rete" - ripristina tutte le impostazioni relative alla rete ai valori predefiniti;
"Ripristino dati di fabbrica" - ripristina l'intero sistema e cancella completamente tutti i dati memorizzati;
Disattivate le applicazioni che hanno privilegi di amministratore:
Se un'applicazione dannosa ottiene i privilegi di amministratore, può danneggiare seriamente il sistema. Per mantenere il dispositivo il più sicuro possibile, si dovrebbe sempre controllare quali applicazioni hanno tali privilegi e disabilitare quelle che non dovrebbero.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Schermata di blocco e sicurezza" e toccarlo.
Scorrete verso il basso fino a visualizzare "Altre impostazioni di sicurezza", toccatelo e quindi toccate "App di amministrazione del dispositivo".
Identificare le applicazioni che non devono avere privilegi di amministratore, toccarle e quindi toccare "DISATTIVA".
Domande frequenti (FAQ)
Il mio dispositivo Android è stato infettato dal malware Copybara, devo formattare il dispositivo di archiviazione per eliminarlo?
La rimozione del malware raramente richiede la formattazione.
Quali sono i maggiori problemi che il malware Copybara può causare?
I pericoli posti da un'infezione dipendono dalle capacità del programma dannoso e dal modus operandi dei cybercriminali. Copybara è uno strumento versatile che consente agli aggressori di controllare i dispositivi infetti da remoto, registrare schermi/audio/video, rubare le comunicazioni, ottenere varie credenziali di accesso, ecc. Le infezioni di questo tipo sono associate a gravi problemi di privacy, perdite finanziarie e furto di identità.
Qual è lo scopo del malware Copybara?
Il malware viene utilizzato principalmente per generare entrate. Tuttavia, i criminali informatici possono utilizzare il software dannoso anche per divertirsi, portare avanti vendette personali, interrompere processi (ad esempio, siti, servizi, aziende, ecc.), impegnarsi nell'hacktivismo e lanciare attacchi a sfondo politico/geopolitico.
Come si è infiltrato il malware Copybara nel mio dispositivo Android?
È stato osservato che Copybara è stato diffuso tramite chiamate vocali, in cui le vittime venivano istruite su come scaricare/installare il malware. Tuttavia, sono possibili altri metodi di distribuzione.
In genere, il malware prolifera attraverso download drive-by, spam (ad esempio, telefonate, SMS, e-mail, PM/DM, post sui social media, ecc.), truffe online, canali di download dubbi (ad esempio, siti web di hosting di file freeware e gratuiti, reti di condivisione P2P, app store di terze parti, ecc.), strumenti illegali di attivazione del software ("crack"), contenuti pirata e aggiornamenti falsi. Alcuni programmi dannosi possono anche auto-proliferare attraverso reti locali e dispositivi di archiviazione rimovibili.
Combo Cleaner mi protegge dal malware?
Sì, Combo Cleaner è progettato per scansionare i dispositivi ed eliminare ogni tipo di minaccia. È in grado di rilevare e rimuovere la maggior parte delle infezioni da malware conosciute. Ricordate che i programmi maligni più sofisticati di solito si nascondono in profondità all'interno dei sistemi, pertanto è fondamentale eseguire una scansione completa del sistema.
Eccezionale!
▼ Mostra Discussione