Check Point:惡意軟體 CopyCat 感染全球 1,400 萬部 Android 設備

作者 | 發布日期 2017 年 07 月 07 日 8:00 | 分類 Android 手機 , Google , 手機 follow us in feedly

根據美國新聞媒體網站 eWeek 報導,安全軟體廠商 Check Point 的研究人員表示,惡意軟體 CopyCat 的最新變種開始在全球肆虐,目前已經感染了全球約 1,400 萬部 Android 設備。這種新病毒將會透過 ROOT 手機和挾持應用程式來獲利,據說已經獲得了數百萬美元的詐欺性廣告收入。目前雖然大多數受害者都在亞洲,但是美國也已經有超過 28 萬部 Android 設備遭到大規模的攻擊。




報導指出,雖然 Google 過去兩年內一直在追蹤 CopyCat 惡意軟體,並升級安全軟體 Play Protect 來進行攔截。但是,仍有數百萬人因為自第三方市場下載應用程式,或感染釣魚程式受到 CopyCat 攻擊。據 Check Point 的研究數據顯示,目前沒有證據說明 CopyCat 是透過 Google Play 應用商店傳播。因此 Google 聲明表示,Play Protect 可以保護用戶不受影響。

Check Point 進一步指出,CopyCat 是透過假冒其他流行應用程式來欺騙用戶。一旦用戶下載假冒的惡意應用軟體,它就會收集受感染設備的數據資料,然後下載 ROOT 工具來 ROOT 設備,進而切斷安全系統。之後 CopyCat 就可下載各種假造的應用程式,挾持受感染設備的應用啟動程式 Zygote。而一旦控制住 Zygote,就能知道使用者下載過哪些新應用程式,以及每款使用過的應用程式。

最後,CopyCat 會利用駭客的 ID 替換受感染設備上的每款應用程序的使用者 ID。如此,在應用程式上彈出的每個廣告都會為駭客創造收益。甚至每隔一段時間,CopyCat 還會發布自己的廣告以增加收入。根據 Check Point 估計,現在已有近 490 萬個假造的應用程式安裝到受感染的設備,它們能夠顯示 1 億條廣告。僅僅兩個月時間,CopyCat 就可為駭客賺到超過 150 萬美元的廣告收入。

據了解,這款惡意軟體的大多數受害者來自印度、巴基斯坦、孟加拉、印尼和緬甸。目前在加拿大,也有超過 38 萬部 Android 設備受到感染。

Check Point 指出,這種惡意軟體是透過 5 個漏洞進行傳遞,而這些安全漏洞主要存在於 Android 5.0 或更早版本的系統中。雖然,這些漏洞已在 2 年多前就已發現和修復。但如果用戶透過第三方應用市場下載應用程式,仍有機會受感染。Google 表示,只要使用 Play Protect 軟體,再老舊版本的 Android 設備也不會受 CopyCat 影響,因為 Play Protect 軟體會定期更新。

CopyCat 的受害者數量在 2016 年 4 月到 5 月期間達到頂峰。自 Google 將它列入 Play Protect 控制後,增長速度就逐步減緩。但 Check Point 藉研究數字觀察後認為,當前仍有不少 Android 設備正受這款惡意軟體的攻擊與控制。

(首圖來源:Flickr/Blogtrepreneur CC BY 2.0)