Android上又双叒冒出新的恶意软件了。
Check Point刚刚公布一个名为CopyCat的恶意软件,感染了超过1400万台Android设备,并在短短两个月内借此狂揽150万美金的欺诈广告收入。
为保证长久的控制权,CopyCat会自动ROOT感染的Android设备,将恶意代码注入Android启动时的守护进程Zygote,来获得对设备的完整访问权限。
ROOT近800万台Android设备
据Check Point研究人员表示,CopyCat感染了超过1400万台Android设备,其中近800万台被ROOT过,380万台被投放过广告,440万台被偷偷安装Play商店的应用。
CopyCat的绝大多数受害者是南亚和东南亚用户,印度受影响最为严重。美国比较轻微,也有28万台设备受到感染。
目前无法确定CopyCat是否在Play商店发布过,不过这个关系不大,因为据Check Point调查,受害用户主要是在第三方网站下载和受到钓鱼攻击感染的。
CopyCat怎么ROOT用户的Android设备呢?其实有现成工具,就是网上流传的各种ROOT神器,比如CVE-2013-6282 (VROOT)、CVE-2015-3636 (PingPongRoot)、CVE-2014-3153 (Towelroot),这些漏洞对5.0以及更早版本的Android设备基本可以通杀。
从CopyCat的感染数据来看,使用老版本、未打补丁Android的用户群仍然非常庞大,他们可能也不太会更新系统了。
CopyCat如何“偷”钱?
在第三方应用商店中,攻击者把CopyCat伪装成时下流行的Android应用。用户一旦下载,恶意软件便开始收集这台设备的信息,并下载工具包来ROOT它。
ROOT后,CopyCat继续移除设备安全防护,将恶意代码注入Android启动时的守护进程Zygote,然后就能“偷”钱了——私底下安装应用和展示广告来获取推广收入。
由于CopyCat通过Zygote进程来展示广告,用户通常难以定位是哪个应用造成的。
CopyCat还支持静默安装推广应用,它有个单独模块专门做这个。鉴于它感染设备量极大,这些推广活动可以带来巨大的利润。
在短短两个月里,CopyCat帮攻击者赚取了超过150万美金的收入。这里边大部分利润来自感染设备上的近490万次静默安装和过亿次广告展示。
借助中国广告公司进行分发
目前尚不确定CopyCat的幕后攻击组织是谁,但Check Point找出一个可能的关联方——中国广告服务公司MobiSummer(广州市沃钛移动科技有限公司)。
MobiSummer和CopyCat之间有多个关联:
1、MobiSummer服务器上发现存在CopyCat
2、CopyCat里边有MobiSummer签名的代码
3、CopyCat和MobiSummer使用相同的远程服务
4、尽管一半以上的受害者都在亚洲,但CopyCat没有针对中国用户
虽然有以上证据,但并不代表CopyCat就是MobiSummer干的,也可能是幕后攻击者使用/滥用了MobiSummer的代码和服务。
最后
旧款Android容易遭受CopyCat攻击,特别是在第三方商店或陌生网站下载应用时。
2017年3月,Check Point向Google通报了CopyCat的恶意行为,Google已经更新Play保护服务,可以识别并阻止CopyCat。
大家的Android设备,只需保持Play服务更新,就能免受CopyCat侵扰。
责任编辑:韩希宇
免责声明:
中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。