新发现的恶意程序已经感染了超过1400万Android设备,在短短两个月内已经获取了150万美元的收入。
这款恶意软件名为CopyCat,它能够对感染的设备进行root,持久驻足系统,或者向Zygote注入恶意代码,Zygote是个专门用于在Android上启动应用程序的服务。通过这一系列方法,黑客就能够获得设备的所有权限。
根据CheckPoint研究人员的调查,CopyCat已经感染了1400万设备,其中800万台已经被root,而380万的设备被用来展示广告,440万设备被用来在Google Play安装应用。
受感染的用户主要在南亚和东南亚,其中印度受到的影响最大,而在美国也有超过280,000台设备被感染。
由于没有证据表明CopyCat由GooglePlay传播,因此Check Point的研究员认为大量的用户是从第三方商店下载了应用,或者遭受到了钓鱼攻击。
跟Gooligan一样,CopyCat也使用了最先进的技术来进行各种形式的广告欺诈。
CopyCat用到了几个漏洞,包括CVE-2013-6282(VROOT), CVE-2015-3636 (PingPongRoot), 和CVE-2014-3153(Towelroot)。这几个漏洞能够root Android 5.0之前的设备,但其实漏洞本身已经非常老了,最近的一个也已经是2年前的了。其实那么多设备仍然中招也从侧面反映出Android平台碎片化严重。
首先CopyCat会在第三方市场伪装成流行的Android应用。被用户下载后,软件会开始手机感染设备的信息,然后下载相应的rootkit帮助root手机。
Root设备后,CopyCat会移除设备上的安全防御机制,然后向Zygote应用启动进程植入代码,从而安装欺诈应用显示广告赚取利润。
“CopyCat会利用Zygote进程显示欺诈广告并且隐藏广告的来源,让用户难以追踪到广告到底是哪个程序引起的。”Check Point研究员称。
“CopyCat还会使用一个另外的模块直接安装欺诈应用到设备上,由于感染量巨大,这些操作都会为CopyCat作者带来大量利润。”
两个月的时间里,CopyCat赚取了150万美元,主要的收入(超过735,000美元)来自490万的安装量,在这些受感染的手机上,CopyCat显示了1亿支广告。
主要的受害者们位于印度、巴基斯坦、孟加拉、印尼、缅甸,另外有超过381,000台受感染设备位于加拿大,280,000台位于美国。
跟众多间谍软件一样,研究人员再一次把矛头指向中国公司。
这次被怀疑的是一家中国的广告公司MobiSummer(沃钛移动)。根据官方介绍,沃钛移动(Mobisummer)是一家成立于2014年的初创公司,办公室位于广州,是一家植根于移动互联网,专注于效果营销的广告投放平台公司,业务内容涵盖: Performance Network、Social Ads、Search、Display Ads、Offline等,为广告主提供用户获取及流量变现的一站式解决方案,合作伙伴包括百度、阿里巴巴等。
研究人员罗列了一些证据:
CopyCat与MobiSummer使用了同一台服务器
CopyCat中的一些代码是有MobiSummer签名的
CopyCat与MobiSummer使用了相同的远程服务
尽管受害者大多在亚洲,CopyCat却没有攻击中国用户
Android旧设备现在仍然会受到CopyCat的攻击,但前提是他们从第三方应用商店下载应用。实际上这对于中国用户基本是无法避免的,万幸的是CopyCat不针对中国用户。
2017年3月Check Point向Google汇报了其发现,现在Google已经更新了其Play Protect规则,在用户安装恶意应用时会提醒用户。
*参考来源:THN,本文作者:Sphinx,转载请注明来自FreeBuf.COM