Android病毒CopyCat已經感染全球1400萬台設備,幕後推手又是中國廣告公司?
新發現的惡意程序已經感染了超過1400萬Android設備,在短短兩個月內已經獲取了150萬美元的收入。
這款惡意軟體名為CopyCat,它能夠對感染的設備進行root,持久駐足系統,或者向Zygote注入惡意代碼,Zygote是個專門用於在Android上啟動應用程序的服務。通過這一系列方法,黑客就能夠獲得設備的所有許可權。
800萬設備被root
根據CheckPoint研究人員的調查,CopyCat已經感染了1400萬設備,其中800萬台已經被root,而380萬的設備被用來展示廣告,440萬設備被用來在Google Play安裝應用。
受感染的用戶主要在南亞和東南亞,其中印度受到的影響最大,而在美國也有超過280,000台設備被感染。
由於沒有證據表明CopyCat由GooglePlay傳播,因此Check Point的研究員認為大量的用戶是從第三方商店下載了應用,或者遭受到了釣魚攻擊。
跟Gooligan一樣,CopyCat也使用了最先進的技術來進行各種形式的廣告欺詐。
CopyCat用到了幾個漏洞,包括CVE-2013-6282(VROOT), CVE-2015-3636 (PingPongRoot), 和CVE-2014-3153(Towelroot)。這幾個漏洞能夠root Android 5.0之前的設備,但其實漏洞本身已經非常老了,最近的一個也已經是2年前的了。其實那麼多設備仍然中招也從側面反映出Android平台碎片化嚴重。
感染流程
首先CopyCat會在第三方市場偽裝成流行的Android應用。被用戶下載後,軟體會開始手機感染設備的信息,然後下載相應的rootkit幫助root手機。
Root設備後,CopyCat會移除設備上的安全防禦機制,然後向Zygote應用啟動進程植入代碼,從而安裝欺詐應用顯示廣告賺取利潤。
「CopyCat會利用Zygote進程顯示欺詐廣告並且隱藏廣告的來源,讓用戶難以追蹤到廣告到底是哪個程序引起的。」Check Point研究員稱。
「CopyCat還會使用一個另外的模塊直接安裝欺詐應用到設備上,由於感染量巨大,這些操作都會為CopyCat作者帶來大量利潤。」
兩個月的時間裡,CopyCat賺取了150萬美元,主要的收入(超過735,000美元)來自490萬的安裝量,在這些受感染的手機上,CopyCat顯示了1億支廣告。
主要的受害者們位於印度、巴基斯坦、孟加拉、印尼、緬甸,另外有超過381,000台受感染設備位於加拿大,280,000台位於美國。
中國公司是幕後黑手?
跟眾多間諜軟體一樣,研究人員再一次把矛頭指向中國公司。
這次被懷疑的是一家中國的廣告公司MobiSummer(沃鈦移動)。根據官方介紹,沃鈦移動(Mobisummer)是一家成立於2014年的初創公司,辦公室位於廣州,是一家植根於移動互聯網,專註於效果營銷的廣告投放平台公司,業務內容涵蓋: Performance Network、Social Ads、Search、Display Ads、Offline等,為廣告主提供用戶獲取及流量變現的一站式解決方案,合作夥伴包括百度、阿里巴巴等。
研究人員羅列了一些證據:
CopyCat與MobiSummer使用了同一台伺服器
CopyCat中的一些代碼是有MobiSummer簽名的
CopyCat與MobiSummer使用了相同的遠程服務
儘管受害者大多在亞洲,CopyCat卻沒有攻擊中國用戶
Android舊設備現在仍然會受到CopyCat的攻擊,但前提是他們從第三方應用商店下載應用。實際上這對於中國用戶基本是無法避免的,萬幸的是CopyCat不針對中國用戶。
2017年3月Check Point向Google彙報了其發現,現在Google已經更新了其Play Protect規則,在用戶安裝惡意應用時會提醒用戶。
*參考來源:THN,本文作者:Sphinx,轉載請註明來自FreeBuf.COM
※Apache CVE-2017-7659漏洞重現及利用分析
※一個人的企業安全建設之路
※FireEye發布調查報告,混淆技術成為了2017年攻擊者最喜歡用的技術之一
※Petya真的沒那麼簡單!北約呼籲發起聯合調查,US-CERT發布警報
※卡巴斯基創始人否認與俄羅斯政府有牽連,表示願意提供源代碼供核查
TAG:FreeBuf |
※惡意廣告程序 RottenSys 感染近 500 萬台 Android 設備;市面上的智能設備=現成的「監視器」?
※FDA批准Gilead新葯Biktarvy上市 治療HIV-1感染
※惡意廣告活動EvilTraffic感染數萬台WordPress CMS網站
※供應鏈攻擊|ASUS Live Update感染後門,影響100多萬用戶
※「Smominru」門羅幣挖礦病毒已感染50萬台Windows伺服器 目前仍無法被消滅
※400萬手機被殭屍網路DressCode感染,谷歌下架數百個APP
※Asruex後門變種通過Office和Adobe漏洞感染word和PDF文檔
※關鍵漏洞CVE-2018-4013感染媒體播放器MPlayer與VLC
※感染勒索病毒「wanna cry」,台積電損失17.4億元
※巴西Pernambuco首例患者感染H1N1死亡
※Google Play商店中發現數千個受感染的Android應用
※頭條:基於WordPress,Joomla和CodeIgniter的數以百計的網站感染ionCube惡意軟體
※Biotron公司實現治癒HIV-1感染的雙重突破
※Roaming Mantis:通過Wi-Fi路由器感染智能手機
※廣告惡意軟體偽裝成遊戲、遠程控制APP感染900萬Google play用戶
※美國 160 多家 Applebee 連鎖餐廳 POS 系統遭惡意軟體感染
※100萬台計算機存在感染挖礦病毒Wannamine風險
※Biosensors and Bioelectronics:新型技術可用於檢測病毒感染
※殭屍網路Prowli感染9000家企業的設備,中國公司較多
※Roaming Mantis用DNS劫持來感染安卓智能手機