Malware-ul CopyCat a infectat 14 milione de dispozitive Android în 2016
Cercetătorii firmei de securitate cibernetică Check Point au descoperit că malware-ul CopyCat a infectat 14 milioane de dispozitive Android, dintre care doar aproximativ 8 milioane au oferit permisiuni suplimentare.
Malware-ul a fost numit CopyCat de cercetătorii Check Point și folosește o nouă metodă pentru generarea și furtul veniturilor. Deși CompyCat a infectat în principal utilizatori din Asia, s-a răspândit pe mai mult de 280.00 de dispozitive Android în statele Unite ale Americii, se arată într-o postare pe blog-ul Check Point.
Hackerii au câștigat aproximativ 1,5 milioane de dolari din venituri din reclame false în două luni. CopyCat are mai multe funcții care îi permite să obțină permisiuni de administrator, să persiste și să injecteze coduri pentru a controla activitatea dispozitivului.
Cercetătorii au descoperit malware-ul prima dată când acesta a atacat un dispozitiv al unei companii protejată de Check Point SandBlast Mobile. Check Point a obținut informații de la serverele de comandă și control ale virusului și au inversat procesul.
Campania CopyCat a atins vârful în aprilie și mai 2016. Cercetătorii cred că aceasta s-a răspândit prin intermediul aplicațiilor populare, care includeau malware-ul și putea fi descărcat din magazine de aplicații de la alte companii, precum și prin campanii de phishing. Nu a existat nicio dovadă că malware-ul a fost răspândit pe Google Play.
În martie 2017, Check Point a informat Google despre campania CopyCat și cum operează acesta. Conform Google, au putut să reducă campania, iar numărul de dispozitive infectate este cu mult mai mic decât atunci când campania a atins maximul. Din nefericire, dispozitivele infectate de CopyCat ar mai putea fi afectate de malware chiar și astăzi.
CopyCat este asemănător cu alte malware ca Gooligan, DressCode și Skinner. După infectare, CopyCat întâi obține acces de administrator pentru a permite atacatorilor să obțină control total asupra dispozitivului și lasă utilizatorul fără apărare. Apoi injectează un cod în procesul de lansare al aplicațiilor numit Zygote. Injectarea codului permite obținerea de bani pentru instalarea frauduloasă a aplicațiilor prin înlocuirea ID-ului producătorului cu cel al hackerilor.
Malware-ul CopyCat necesită o protecție avansată care poate bloca malware necunoscut prin folosirea analizei statice și dinamice a aplicațiilor. Doar prin examinarea malware-ului în contextul oprațiilor pe un dispozitiv pot fi create strategii care să îl blocheze cu succes.
