导语:Check Point刚刚公布一个名为CopyCat的恶意软件,感染了超过1400万台Android设备,并在短短两个月内借此狂揽150万美金的欺诈广告收入。

Android上又双叒冒出新的恶意软件了。

Check Point刚刚公布一个名为CopyCat的恶意软件,感染了超过1400万台Android设备,并在短短两个月内借此狂揽150万美金的欺诈广告收入。

为保证长久的控制权,CopyCat会自动ROOT感染的Android设备,将恶意代码注入Android启动时的守护进程Zygote,来获得对设备的完整访问权限。

ROOT近800万台Android设备

据Check Point研究人员表示,CopyCat感染了超过1400万台Android设备,其中近800万台被ROOT过,380万台被投放过广告,440万台被偷偷安装Play商店的应用。

copycat-by-the-numbers.jpg

CopyCat的绝大多数受害者是南亚和东南亚用户,印度受影响最为严重。美国比较轻微,也有28万台设备受到感染。

where-copycat-is-concentrated.jpg

目前无法确定CopyCat是否在Play商店发布过,不过这个关系不大,因为据Check Point调查,受害用户主要是在第三方网站下载和受到钓鱼攻击感染的。

CopyCat怎么ROOT用户的Android设备呢?其实有现成工具,就是网上流传的各种ROOT神器,比如CVE-2013-6282 (VROOT)、CVE-2015-3636 (PingPongRoot)、CVE-2014-3153 (Towelroot),这些漏洞对5.0以及更早版本的Android设备基本可以通杀。

从CopyCat的感染数据来看,使用老版本、未打补丁Android的用户群仍然非常庞大,他们可能也不太会更新系统了。

CopyCat如何“偷”钱?

Infographic-how-copycat-earns-millions.jpg

在第三方应用商店中,攻击者把CopyCat伪装成时下流行的Android应用。用户一旦下载,恶意软件便开始收集这台设备的信息,并下载工具包来ROOT它。

ROOT后,CopyCat继续移除设备安全防护,将恶意代码注入Android启动时的守护进程Zygote,然后就能“偷”钱了——私底下安装应用和展示广告来获取推广收入。

由于CopyCat通过Zygote进程来展示广告,用户通常难以定位是哪个应用造成的。

CopyCat还支持静默安装推广应用,它有个单独模块专门做这个。鉴于它感染设备量极大,这些推广活动可以带来巨大的利润。

在短短两个月里,CopyCat帮攻击者赚取了超过150万美金的收入。这里边大部分利润来自感染设备上的近490万次静默安装和过亿次广告展示。

借助中国广告公司进行分发

目前尚不确定CopyCat的幕后攻击组织是谁,但Check Point找出一个可能的关联方——中国广告服务公司MobiSummer(广州市沃钛移动科技有限公司)。

MobiSummer和CopyCat之间有多个关联:

1、MobiSummer服务器上发现存在CopyCat

2、CopyCat里边有MobiSummer签名的代码

3、CopyCat和MobiSummer使用相同的远程服务

4、尽管一半以上的受害者都在亚洲,但CopyCat没有针对中国用户

虽然有以上证据,但并不代表CopyCat就是MobiSummer干的,也可能是幕后攻击者使用/滥用了MobiSummer的代码和服务。

最后

旧款Android容易遭受CopyCat攻击,特别是在第三方商店或陌生网站下载应用时。

2017年3月,Check Point向Google通报了CopyCat的恶意行为,Google已经更新Play保护服务,可以识别并阻止CopyCat。

大家的Android设备,只需保持Play服务更新,就能免受CopyCat侵扰。

源链接

Hacking more

...