安全動(dòng)態(tài)

Android病毒CopyCat已經(jīng)感染全球1400萬(wàn)臺(tái)設(shè)備,幕后推手又是中國(guó)廣告公司?
來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2017-07-07    瀏覽次數(shù):
 

信息來(lái)源:freebuff

CopyCat

新發(fā)現(xiàn)的惡意程序已經(jīng)感染了超過(guò)1400萬(wàn)Android設(shè)備,在短短兩個(gè)月內(nèi)已經(jīng)獲取了150萬(wàn)美元的收入。

這款惡意軟件名為CopyCat,它能夠?qū)Ω腥镜脑O(shè)備進(jìn)行root,持久駐足系統(tǒng),或者向Zygote注入惡意代碼,Zygote是個(gè)專門用于在Android上啟動(dòng)應(yīng)用程序的服務(wù)。通過(guò)這一系列方法,黑客就能夠獲得設(shè)備的所有權(quán)限。

800萬(wàn)設(shè)備被root

根據(jù)CheckPoint研究人員的調(diào)查,CopyCat已經(jīng)感染了1400萬(wàn)設(shè)備,其中800萬(wàn)臺(tái)已經(jīng)被root,而380萬(wàn)的設(shè)備被用來(lái)展示廣告,440萬(wàn)設(shè)備被用來(lái)在Google Play安裝應(yīng)用。

感染情況

受感染的用戶主要在南亞和東南亞,其中印度受到的影響最大,而在美國(guó)也有超過(guò)280,000臺(tái)設(shè)備被感染。

地區(qū)分布

由于沒(méi)有證據(jù)表明CopyCat由GooglePlay傳播,因此Check Point的研究員認(rèn)為大量的用戶是從第三方商店下載了應(yīng)用,或者遭受到了釣魚攻擊。

跟Gooligan一樣,CopyCat也使用了最先進(jìn)的技術(shù)來(lái)進(jìn)行各種形式的廣告欺詐。

CopyCat用到了幾個(gè)漏洞,包括CVE-2013-6282(VROOT), CVE-2015-3636 (PingPongRoot), 和CVE-2014-3153(Towelroot)。這幾個(gè)漏洞能夠root Android 5.0之前的設(shè)備,但其實(shí)漏洞本身已經(jīng)非常老了,最近的一個(gè)也已經(jīng)是2年前的了。其實(shí)那么多設(shè)備仍然中招也從側(cè)面反映出Android平臺(tái)碎片化嚴(yán)重。

感染流程

感染流程

首先CopyCat會(huì)在第三方市場(chǎng)偽裝成流行的Android應(yīng)用。被用戶下載后,軟件會(huì)開(kāi)始手機(jī)感染設(shè)備的信息,然后下載相應(yīng)的rootkit幫助root手機(jī)。

Root設(shè)備后,CopyCat會(huì)移除設(shè)備上的安全防御機(jī)制,然后向Zygote應(yīng)用啟動(dòng)進(jìn)程植入代碼,從而安裝欺詐應(yīng)用顯示廣告賺取利潤(rùn)。

 “CopyCat會(huì)利用Zygote進(jìn)程顯示欺詐廣告并且隱藏廣告的來(lái)源,讓用戶難以追蹤到廣告到底是哪個(gè)程序引起的?!盋heck Point研究員。

 “CopyCat還會(huì)使用一個(gè)另外的模塊直接安裝欺詐應(yīng)用到設(shè)備上,由于感染量巨大,這些操作都會(huì)為CopyCat作者帶來(lái)大量利潤(rùn)。”

兩個(gè)月的時(shí)間里,CopyCat賺取了150萬(wàn)美元,主要的收入(超過(guò)735,000美元)來(lái)自490萬(wàn)的安裝量,在這些受感染的手機(jī)上,CopyCat顯示了1億支廣告。

主要的受害者們位于印度、巴基斯坦、孟加拉、印尼、緬甸,另外有超過(guò)381,000臺(tái)受感染設(shè)備位于加拿大,280,000臺(tái)位于美國(guó)。

感染情況

中國(guó)公司是幕后黑手?

眾多間諜軟件一樣,研究人員再一次把矛頭指向中國(guó)公司。

這次被懷疑的是一家中國(guó)的廣告公司MobiSummer(沃鈦移動(dòng))。根據(jù)官方介紹,沃鈦移動(dòng)(Mobisummer)是一家成立于2014年的初創(chuàng)公司,辦公室位于廣州,是一家植根于移動(dòng)互聯(lián)網(wǎng),專注于效果營(yíng)銷的廣告投放平臺(tái)公司,業(yè)務(wù)內(nèi)容涵蓋: Performance Network、Social Ads、Search、Display Ads、Offline等,為廣告主提供用戶獲取及流量變現(xiàn)的一站式解決方案,合作伙伴包括百度、阿里巴巴等。

合作伙伴.png

研究人員羅列了一些證據(jù):

CopyCat與MobiSummer使用了同一臺(tái)服務(wù)器

CopyCat中的一些代碼是有MobiSummer簽名的

CopyCat與MobiSummer使用了相同的遠(yuǎn)程服務(wù)

盡管受害者大多在亞洲,CopyCat卻沒(méi)有攻擊中國(guó)用戶

Android舊設(shè)備現(xiàn)在仍然會(huì)受到CopyCat的攻擊,但前提是他們從第三方應(yīng)用商店下載應(yīng)用。實(shí)際上這對(duì)于中國(guó)用戶基本是無(wú)法避免的,萬(wàn)幸的是CopyCat不針對(duì)中國(guó)用戶。

2017年3月Check Point向Google匯報(bào)了其發(fā)現(xiàn),現(xiàn)在Google已經(jīng)更新了其Play Protect規(guī)則,在用戶安裝惡意應(yīng)用時(shí)會(huì)提醒用戶。

 
 

上一篇:2017年07月06日 聚銘安全速遞

下一篇:六月SSL行業(yè)新聞回顧