Android病毒CopyCat已經感染全球1400萬台設備，幕後推手又是中國廣告公司？

新聞 07-09

新發現的惡意程序已經感染了超過1400萬Android設備，在短短兩個月內已經獲取了150萬美元的收入。

這款惡意軟體名為CopyCat，它能夠對感染的設備進行root，持久駐足系統，或者向Zygote注入惡意代碼，Zygote是個專門用於在Android上啟動應用程序的服務。通過這一系列方法，黑客就能夠獲得設備的所有許可權。

800萬設備被root

根據CheckPoint研究人員的調查，CopyCat已經感染了1400萬設備，其中800萬台已經被root，而380萬的設備被用來展示廣告，440萬設備被用來在Google Play安裝應用。

受感染的用戶主要在南亞和東南亞，其中印度受到的影響最大，而在美國也有超過280,000台設備被感染。

由於沒有證據表明CopyCat由GooglePlay傳播，因此Check Point的研究員認為大量的用戶是從第三方商店下載了應用，或者遭受到了釣魚攻擊。

跟Gooligan一樣，CopyCat也使用了最先進的技術來進行各種形式的廣告欺詐。

CopyCat用到了幾個漏洞，包括CVE-2013-6282(VROOT), CVE-2015-3636 (PingPongRoot), 和CVE-2014-3153(Towelroot)。這幾個漏洞能夠root Android 5.0之前的設備，但其實漏洞本身已經非常老了，最近的一個也已經是2年前的了。其實那麼多設備仍然中招也從側面反映出Android平台碎片化嚴重。

感染流程

首先CopyCat會在第三方市場偽裝成流行的Android應用。被用戶下載後，軟體會開始手機感染設備的信息，然後下載相應的rootkit幫助root手機。

Root設備後，CopyCat會移除設備上的安全防禦機制，然後向Zygote應用啟動進程植入代碼，從而安裝欺詐應用顯示廣告賺取利潤。

「CopyCat會利用Zygote進程顯示欺詐廣告並且隱藏廣告的來源，讓用戶難以追蹤到廣告到底是哪個程序引起的。」Check Point研究員稱。

「CopyCat還會使用一個另外的模塊直接安裝欺詐應用到設備上，由於感染量巨大，這些操作都會為CopyCat作者帶來大量利潤。」

兩個月的時間裡，CopyCat賺取了150萬美元，主要的收入（超過735,000美元）來自490萬的安裝量，在這些受感染的手機上，CopyCat顯示了1億支廣告。

主要的受害者們位於印度、巴基斯坦、孟加拉、印尼、緬甸，另外有超過381,000台受感染設備位於加拿大，280,000台位於美國。

中國公司是幕後黑手？

跟眾多間諜軟體一樣，研究人員再一次把矛頭指向中國公司。

這次被懷疑的是一家中國的廣告公司MobiSummer（沃鈦移動）。根據官方介紹，沃鈦移動（Mobisummer）是一家成立於2014年的初創公司，辦公室位於廣州，是一家植根於移動互聯網，專註於效果營銷的廣告投放平台公司，業務內容涵蓋： Performance Network、Social Ads、Search、Display Ads、Offline等，為廣告主提供用戶獲取及流量變現的一站式解決方案，合作夥伴包括百度、阿里巴巴等。