Android病毒CopyCat已经感染全球1400万台设备,幕后推手又是中国广告公司?

2017 年 7 月 7 日 FreeBuf Sphinx

新发现的恶意程序已经感染了超过1400万Android设备,在短短两个月内已经获取了150万美元的收入。

这款恶意软件名为CopyCat,它能够对感染的设备进行root,持久驻足系统,或者向Zygote注入恶意代码,Zygote是个专门用于在Android上启动应用程序的服务。通过这一系列方法,黑客就能够获得设备的所有权限。

800万设备被root

根据CheckPoint研究人员的调查,CopyCat已经感染了1400万设备,其中800万台已经被root,而380万的设备被用来展示广告,440万设备被用来在Google Play安装应用。

受感染的用户主要在南亚和东南亚,其中印度受到的影响最大,而在美国也有超过280,000台设备被感染。

由于没有证据表明CopyCat由GooglePlay传播,因此Check Point的研究员认为大量的用户是从第三方商店下载了应用,或者遭受到了钓鱼攻击。

跟Gooligan一样,CopyCat也使用了最先进的技术来进行各种形式的广告欺诈。

CopyCat用到了几个漏洞,包括CVE-2013-6282(VROOT), CVE-2015-3636 (PingPongRoot), 和CVE-2014-3153(Towelroot)。这几个漏洞能够root Android 5.0之前的设备,但其实漏洞本身已经非常老了,最近的一个也已经是2年前的了。其实那么多设备仍然中招也从侧面反映出Android平台碎片化严重。

感染流程

首先CopyCat会在第三方市场伪装成流行的Android应用。被用户下载后,软件会开始手机感染设备的信息,然后下载相应的rootkit帮助root手机。

Root设备后,CopyCat会移除设备上的安全防御机制,然后向Zygote应用启动进程植入代码,从而安装欺诈应用显示广告赚取利润。

“CopyCat会利用Zygote进程显示欺诈广告并且隐藏广告的来源,让用户难以追踪到广告到底是哪个程序引起的。”Check Point研究员称。

“CopyCat还会使用一个另外的模块直接安装欺诈应用到设备上,由于感染量巨大,这些操作都会为CopyCat作者带来大量利润。”

两个月的时间里,CopyCat赚取了150万美元,主要的收入(超过735,000美元)来自490万的安装量,在这些受感染的手机上,CopyCat显示了1亿支广告。

主要的受害者们位于印度、巴基斯坦、孟加拉、印尼、缅甸,另外有超过381,000台受感染设备位于加拿大,280,000台位于美国。

中国公司是幕后黑手?

跟众多间谍软件一样,研究人员再一次把矛头指向中国公司。

这次被怀疑的是一家中国的广告公司MobiSummer(沃钛移动)。根据官方介绍,沃钛移动(Mobisummer)是一家成立于2014年的初创公司,办公室位于广州,是一家植根于移动互联网,专注于效果营销的广告投放平台公司,业务内容涵盖: Performance Network、Social Ads、Search、Display Ads、Offline等,为广告主提供用户获取及流量变现的一站式解决方案,合作伙伴包括百度、阿里巴巴等。

研究人员罗列了一些证据:

CopyCat与MobiSummer使用了同一台服务器

CopyCat中的一些代码是有MobiSummer签名的

CopyCat与MobiSummer使用了相同的远程服务

尽管受害者大多在亚洲,CopyCat却没有攻击中国用户

Android旧设备现在仍然会受到CopyCat的攻击,但前提是他们从第三方应用商店下载应用。实际上这对于中国用户基本是无法避免的,万幸的是CopyCat不针对中国用户。

2017年3月Check Point向Google汇报了其发现,现在Google已经更新了其Play Protect规则,在用户安装恶意应用时会提醒用户。

*参考来源:THN,本文作者:Sphinx,转载请注明来自FreeBuf.COM

登录查看更多
0

相关内容

Android(安卓)是一种以 Linux 为基础开发的开放源代码的操作系统,主要应用于便携设备。2005 年,Android 公司被 Google 收购,随后 Google 联合制造商组成开放手机联盟。Android 已从智能手机领域逐渐扩展到平板电脑、智能电视(及机顶盒)、游戏机、物联网、智能手表、车载系统、VR以及PC等领域。
【中国人民大学】机器学习的隐私保护研究综述
专知会员服务
131+阅读 · 2020年3月25日
Gartner:2020年十大战略性技术趋势, 47页pdf
专知会员服务
76+阅读 · 2020年3月10日
广东疾控中心《新型冠状病毒感染防护》,65页pdf
专知会员服务
18+阅读 · 2020年1月26日
报告 | 2020中国5G经济报告,100页pdf
专知会员服务
97+阅读 · 2019年12月29日
在中国被禁的探探,正在印度兴起
腾讯创业
4+阅读 · 2019年5月18日
I2P - 适用于黑客的Android应用程序
黑白之道
30+阅读 · 2019年3月6日
华为和其“公关危机”下的5G发布会
1号机器人网
7+阅读 · 2019年1月27日
别@微信团队了,我用Python给自己戴上了圣诞帽!
Arxiv
6+阅读 · 2018年3月27日
Arxiv
25+阅读 · 2018年1月24日
Arxiv
3+阅读 · 2017年12月18日
Arxiv
5+阅读 · 2017年11月13日
Arxiv
5+阅读 · 2015年9月14日
VIP会员
相关VIP内容
【中国人民大学】机器学习的隐私保护研究综述
专知会员服务
131+阅读 · 2020年3月25日
Gartner:2020年十大战略性技术趋势, 47页pdf
专知会员服务
76+阅读 · 2020年3月10日
广东疾控中心《新型冠状病毒感染防护》,65页pdf
专知会员服务
18+阅读 · 2020年1月26日
报告 | 2020中国5G经济报告,100页pdf
专知会员服务
97+阅读 · 2019年12月29日
相关论文
Top
微信扫码咨询专知VIP会员