主站

分类

漏洞 工具 极客 web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据库安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

【7.8更新】Android病毒CopyCat已经感染全球1400万台设备
2017-07-07 15:40:32

【 7.8 更新 】

本文编译自国外媒体 The Hacker News 的文章,原文在提到 CopyCat 恶意程序可能由一家中国公司传播时,并未如实反映安全公司 Check Point 的报告原文。在此,FreeBuf特别进行更新修正:

Check Point在报告中指出:

目前尚不清楚 CopyCat 背后的攻击者是谁。虽然有一些联系指向一家中国广告公司 MobiSummer ,但这并不意味着该恶意程序由该公司编写,有可能是幕后攻击者在 MobiSummer 不知情的情况下使用了该公司的代码和基础设施。

The Hacker News 也已经就此问题就行修正,本文特此更新。

CopyCat

新发现的恶意程序已经感染了超过1400万Android设备,在短短两个月内已经获取了150万美元的收入。

这款恶意软件名为CopyCat,它能够对感染的设备进行root,持久驻足系统,或者向Zygote注入恶意代码,Zygote是个专门用于在Android上启动应用程序的服务。通过这一系列方法,黑客就能够获得设备的所有权限。

800万设备被root

根据CheckPoint研究人员的调查,CopyCat已经感染了1400万设备,其中800万台已经被root,而380万的设备被用来展示广告,440万设备被用来在Google Play安装应用。

感染情况

受感染的用户主要在南亚和东南亚,其中印度受到的影响最大,而在美国也有超过280,000台设备被感染。

地区分布

由于没有证据表明CopyCat由GooglePlay传播,因此Check Point的研究员认为大量的用户是从第三方商店下载了应用,或者遭受到了钓鱼攻击。

跟Gooligan一样,CopyCat也使用了最先进的技术来进行各种形式的广告欺诈。

CopyCat用到了几个漏洞,包括CVE-2013-6282(VROOT), CVE-2015-3636 (PingPongRoot), 和CVE-2014-3153(Towelroot)。这几个漏洞能够root Android 5.0之前的设备,但其实漏洞本身已经非常老了,最近的一个也已经是2年前的了。其实那么多设备仍然中招也从侧面反映出Android平台碎片化严重。

感染流程

感染流程

首先CopyCat会在第三方市场伪装成流行的Android应用。被用户下载后,软件会开始手机感染设备的信息,然后下载相应的rootkit帮助root手机。

Root设备后,CopyCat会移除设备上的安全防御机制,然后向Zygote应用启动进程植入代码,从而安装欺诈应用显示广告赚取利润。

 “CopyCat会利用Zygote进程显示欺诈广告并且隐藏广告的来源,让用户难以追踪到广告到底是哪个程序引起的。”Check Point研究员

 “CopyCat还会使用一个另外的模块直接安装欺诈应用到设备上,由于感染量巨大,这些操作都会为CopyCat作者带来大量利润。”

两个月的时间里,CopyCat赚取了150万美元,主要的收入(超过735,000美元)来自490万的安装量,在这些受感染的手机上,CopyCat显示了1亿支广告。

主要的受害者们位于印度、巴基斯坦、孟加拉、印尼、缅甸,另外有超过381,000台受感染设备位于加拿大,280,000台位于美国。

感染情况

中国公司是幕后黑手?

众多间谍软件一样,Check Point 在报告中提到了一家中国广告公司MobiSummer。不过 Check Point 并无明确证据表明就是这家公司所为:

目前尚不清楚 CopyCat 背后的攻击者是谁。虽然有一些联系指向一家中国广告公司 MobiSummer ,但这并不意味着该恶意程序由该公司编写,有可能是幕后攻击者在 MobiSummer 不知情的情况下使用了该公司的代码和基础设施。

Android旧设备现在仍然会受到CopyCat的攻击,但前提是他们从第三方应用商店下载应用。实际上这对于中国用户基本是无法避免的,万幸的是CopyCat不针对中国用户。

2017年3月Check Point向Google汇报了其发现,现在Google已经更新了其Play Protect规则,在用户安装恶意应用时会提醒用户。

*参考来源:THN,本文作者:Sphinx,转载请注明来自FreeBuf.COM

本文作者:, 转载请注明来自FreeBuf.COM

# CopyCat
被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦