Android上又雙叒冒出新的惡意軟體：ROOT近800萬台設備、狂發廣告騙推廣費

Android上又雙叒冒出新的惡意軟體了。

Check Point剛剛公布一個名為CopyCat的惡意軟體，感染了超過1400萬台Android設備，並在短短兩個月內藉此狂攬150萬美金的欺詐廣告收入。

為保證長久的控制權，CopyCat會自動ROOT感染的Android設備，將惡意代碼注入Android啟動時的守護進程Zygote，來獲得對設備的完整訪問許可權。

ROOT近800萬台Android設備

據Check Point研究人員表示，CopyCat感染了超過1400萬台Android設備，其中近800萬台被ROOT過，380萬台被投放過廣告，440萬台被偷偷安裝Play商店的應用。

CopyCat的絕大多數受害者是南亞和東南亞用戶，印度受影響最為嚴重。美國比較輕微，也有28萬台設備受到感染。

目前無法確定CopyCat是否在Play商店發布過，不過這個關係不大，因為據Check Point調查，受害用戶主要是在第三方網站下載和受到釣魚攻擊感染的。

從CopyCat的感染數據來看，使用老版本、未打補丁Android的用戶群仍然非常龐大，他們可能也不太會更新系統了。

CopyCat如何「偷」錢？

在第三方應用商店中，攻擊者把CopyCat偽裝成時下流行的Android應用。用戶一旦下載，惡意軟體便開始收集這台設備的信息，並下載工具包來ROOT它。

ROOT後，CopyCat繼續移除設備安全防護，將惡意代碼注入Android啟動時的守護進程Zygote，然後就能「偷」錢了——私底下安裝應用和展示廣告來獲取推廣收入。

由於CopyCat通過Zygote進程來展示廣告，用戶通常難以定位是哪個應用造成的。

CopyCat還支持靜默安裝推廣應用，它有個單獨模塊專門做這個。鑒於它感染設備量極大，這些推廣活動可以帶來巨大的利潤。

在短短兩個月里，CopyCat幫攻擊者賺取了超過150萬美金的收入。這裡邊大部分利潤來自感染設備上的近490萬次靜默安裝和過億次廣告展示。

藉助中國廣告公司進行分發

目前尚不確定CopyCat的幕後攻擊組織是誰，但Check Point找出一個可能的關聯方——中國廣告服務公司MobiSummer（廣州市沃鈦移動科技有限公司）。

MobiSummer和CopyCat之間有多個關聯：

1、MobiSummer伺服器上發現存在CopyCat

2、CopyCat裡邊有MobiSummer簽名的代碼

3、CopyCat和MobiSummer使用相同的遠程服務

4、儘管一半以上的受害者都在亞洲，但CopyCat沒有針對中國用戶

雖然有以上證據，但並不代表CopyCat就是MobiSummer乾的，也可能是幕後攻擊者使用/濫用了MobiSummer的代碼和服務。

最後

舊款Android容易遭受CopyCat攻擊，特別是在第三方商店或陌生網站下載應用時。

2017年3月，Check Point向Google通報了CopyCat的惡意行為，Google已經更新Play保護服務，可以識別並阻止CopyCat。

大家的Android設備，只需保持Play服務更新，就能免受CopyCat侵擾。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！