copybara - RunkIntel

# Copybara > [!danger] Trojan Bancário Avançado > Trojan bancário Android documentado pela Cleafy desde 2021, com evolução contínua e ataques a bancos europeus e brasileiros. Capacidade avançada de fraude bancária com controle remoto em tempo real. ## Visão Geral **Copybara** é um trojan bancário Android documentado pela [[cleafy|Cleafy]] desde 2021, com múltiplas versões evoluídas ao longo dos anos. O malware é notável por sua capacidade de realizar fraudes bancárias em tempo real através de controle remoto do dispositivo comprometido, permitindo que operadores humanos realizem transações fraudulentas enquanto a vítima está com o telefone na mão. A combinação de overlay attacks, VNC remoto e evasão de autenticação multifator torna o Copybara uma das ameaças bancárias móveis mais sofisticadas documentadas para o mercado europeu e brasileiro. ## Características Técnicas - **Plataforma:** Android - **Primeira versão documentada:** 2021 (Cleafy) - **Versões conhecidas:** v1 (2021), v2 (2022), v3+ (2023-2026) - **Capacidades:** VNC remoto, overlay dinâmico, interceptação de OTP/2FA - **C2:** Infraestrutura distribuída com múltiplos servidores - **Evasão:** Técnicas anti-análise e detecção de sandbox ## TTPs | Técnica | Descrição | |---------|-----------| | [[t1056-input-capture\|T1056]] | Keylogging e captura de PIN/senhas bancárias | | [[t1185-browser-session-hijacking\|T1185]] | Overlay attack em sessões de mobile banking | | [[t1036-masquerading\|T1036]] | Distribuição como apps de serviços e utilitários | | [[t1417-input-capture-android\|T1417]] | Input capture via Android Accessibility Services | | [[t1513-screen-capture\|T1513]] | VNC remoto para fraude assistida por humano | | [[t1521-encrypted-channel\|T1521]] | Comúnicação C2 criptografada para evasão de detecção | ## Evolução O Copybara passou por múltiplas iterações desde sua descoberta em 2021: - **2021:** Primeira versão - overlay básico + keylogging - **2022:** Adição de VNC remoto para fraude on-device - **2023+:** Evasão aprimorada de detecção e suporte a mais bancos alvo - **2025-2026:** Variantes com técnicas anti-análise aprimoradas ## Comparação com Famílias Relacionadas O Copybara compartilha similaridades técnicas com [[tsarbot]] em termos de capacidade de controle remoto, mas difere pela longevidade e sofisticação evolutiva. Enquanto [[pixrevolution]] e [[beatbanker]] são ameaças mais recentes e menos sofisticadas, o Copybara representa um nível mais avançado de desenvolvimento. ## Setores Afetados - [[setor-financeiro|Financeiro]] - Bancos europeus e brasileiros (principal alvo) - [[setor-varejo|Varejo]] - Plataformas de pagamento digital ## Referências - [Cleafy - Copybara Banking Trojan (2021)](https://www.cleafy.com/cleafy-labs/copybara) - [Cleafy Threat Intelligence Labs](https://www.cleafy.com/cleafy-labs/) - [ThreatFabric - Android Banking Threat Landscape](https://www.threatfabric.com/)