信息來源：freebuff

新發(fā)現(xiàn)的惡意程序已經(jīng)感染了超過1400萬Android設(shè)備，在短短兩個月內(nèi)已經(jīng)獲取了150萬美元的收入。

這款惡意軟件名為CopyCat，它能夠?qū)Ω腥镜脑O(shè)備進(jìn)行root，持久駐足系統(tǒng)，或者向Zygote注入惡意代碼，Zygote是個專門用于在Android上啟動應(yīng)用程序的服務(wù)。通過這一系列方法，黑客就能夠獲得設(shè)備的所有權(quán)限。

800萬設(shè)備被root

根據(jù)CheckPoint研究人員的調(diào)查，CopyCat已經(jīng)感染了1400萬設(shè)備，其中800萬臺已經(jīng)被root，而380萬的設(shè)備被用來展示廣告，440萬設(shè)備被用來在Google Play安裝應(yīng)用。

受感染的用戶主要在南亞和東南亞，其中印度受到的影響最大，而在美國也有超過280,000臺設(shè)備被感染。

由于沒有證據(jù)表明CopyCat由GooglePlay傳播，因此Check Point的研究員認(rèn)為大量的用戶是從第三方商店下載了應(yīng)用，或者遭受到了釣魚攻擊。

跟Gooligan一樣，CopyCat也使用了最先進(jìn)的技術(shù)來進(jìn)行各種形式的廣告欺詐。

CopyCat用到了幾個漏洞，包括CVE-2013-6282(VROOT), CVE-2015-3636 (PingPongRoot), 和CVE-2014-3153(Towelroot)。這幾個漏洞能夠root Android 5.0之前的設(shè)備，但其實漏洞本身已經(jīng)非常老了，最近的一個也已經(jīng)是2年前的了。其實那么多設(shè)備仍然中招也從側(cè)面反映出Android平臺碎片化嚴(yán)重。

感染流程

首先CopyCat會在第三方市場偽裝成流行的Android應(yīng)用。被用戶下載后，軟件會開始手機(jī)感染設(shè)備的信息，然后下載相應(yīng)的rootkit幫助root手機(jī)。

Root設(shè)備后，CopyCat會移除設(shè)備上的安全防御機(jī)制，然后向Zygote應(yīng)用啟動進(jìn)程植入代碼，從而安裝欺詐應(yīng)用顯示廣告賺取利潤。

 “CopyCat會利用Zygote進(jìn)程顯示欺詐廣告并且隱藏廣告的來源，讓用戶難以追蹤到廣告到底是哪個程序引起的?！盋heck Point研究員稱。

 “CopyCat還會使用一個另外的模塊直接安裝欺詐應(yīng)用到設(shè)備上，由于感染量巨大，這些操作都會為CopyCat作者帶來大量利潤。”

兩個月的時間里，CopyCat賺取了150萬美元，主要的收入（超過735,000美元）來自490萬的安裝量，在這些受感染的手機(jī)上，CopyCat顯示了1億支廣告。

主要的受害者們位于印度、巴基斯坦、孟加拉、印尼、緬甸，另外有超過381,000臺受感染設(shè)備位于加拿大，280,000臺位于美國。

中國公司是幕后黑手？

跟眾多間諜軟件一樣，研究人員再一次把矛頭指向中國公司。

這次被懷疑的是一家中國的廣告公司MobiSummer（沃鈦移動）。根據(jù)官方介紹，沃鈦移動（Mobisummer）是一家成立于2014年的初創(chuàng)公司，辦公室位于廣州，是一家植根于移動互聯(lián)網(wǎng)，專注于效果營銷的廣告投放平臺公司，業(yè)務(wù)內(nèi)容涵蓋： Performance Network、Social Ads、Search、Display Ads、Offline等，為廣告主提供用戶獲取及流量變現(xiàn)的一站式解決方案，合作伙伴包括百度、阿里巴巴等。

研究人員羅列了一些證據(jù)：

CopyCat與MobiSummer使用了同一臺服務(wù)器

CopyCat中的一些代碼是有MobiSummer簽名的

CopyCat與MobiSummer使用了相同的遠(yuǎn)程服務(wù)

盡管受害者大多在亞洲，CopyCat卻沒有攻擊中國用戶

Android舊設(shè)備現(xiàn)在仍然會受到CopyCat的攻擊，但前提是他們從第三方應(yīng)用商店下載應(yīng)用。實際上這對于中國用戶基本是無法避免的，萬幸的是CopyCat不針對中國用戶。

2017年3月Check Point向Google匯報了其發(fā)現(xiàn)，現(xiàn)在Google已經(jīng)更新了其Play Protect規(guī)則，在用戶安裝惡意應(yīng)用時會提醒用戶。