Android上又雙叒冒出新的惡意軟件了。

　　Check Point剛剛公布一個名為CopyCat的惡意軟件，感染了超過1400萬臺Android設備，并在短短兩個月內借此狂攬150萬美金的欺詐廣告收入。

　　為保證長久的控制權，CopyCat會自動ROOT感染的Android設備，將惡意代碼注入Android啟動時的守護進程Zygote，來獲得對設備的完整訪問權限。

　　ROOT近800萬臺Android設備

　　據Check Point研究人員表示，CopyCat感染了超過1400萬臺Android設備，其中近800萬臺被ROOT過，380萬臺被投放過廣告，440萬臺被偷偷安裝Play商店的應用。

　　CopyCat的絕大多數受害者是南亞和東南亞用戶，印度受影響最為嚴重。美國比較輕微，也有28萬臺設備受到感染?！　?/p>

　　目前無法確定CopyCat是否在Play商店發布過，不過這個關系不大，因為據Check Point調查，受害用戶主要是在第三方網站下載和受到釣魚攻擊感染的。

　　CopyCat怎么ROOT用戶的Android設備呢？其實有現成工具，就是網上流傳的各種ROOT神器，比如CVE-2013-6282 (VROOT)、CVE-2015-3636 (PingPongRoot)、CVE-2014-3153 (Towelroot)，這些漏洞對5.0以及更早版本的Android設備基本可以通殺。

　　從CopyCat的感染數據來看，使用老版本、未打補丁Android的用戶群仍然非常龐大，他們可能也不太會更新系統了。

　　CopyCat如何“偷”錢？

　　在第三方應用商店中，攻擊者把CopyCat偽裝成時下流行的Android應用。用戶一旦下載，惡意軟件便開始收集這臺設備的信息，并下載工具包來ROOT它。

　　ROOT后，CopyCat繼續移除設備安全防護，將惡意代碼注入Android啟動時的守護進程Zygote，然后就能“偷”錢了——私底下安裝應用和展示廣告來獲取推廣收入。

　　由于CopyCat通過Zygote進程來展示廣告，用戶通常難以定位是哪個應用造成的。

　　CopyCat還支持靜默安裝推廣應用，它有個單獨模塊專門做這個。鑒于它感染設備量極大，這些推廣活動可以帶來巨大的利潤。

　　在短短兩個月里，CopyCat幫攻擊者賺取了超過150萬美金的收入。這里邊大部分利潤來自感染設備上的近490萬次靜默安裝和過億次廣告展示。

　　借助中國廣告公司進行分發

　　目前尚不確定CopyCat的幕后攻擊組織是誰，但Check Point找出一個可能的關聯方——中國廣告服務公司MobiSummer（廣州市沃鈦移動科技有限公司）。

　　MobiSummer和CopyCat之間有多個關聯：

　　1、MobiSummer服務器上發現存在CopyCat

　　2、CopyCat里邊有MobiSummer簽名的代碼

　　3、CopyCat和MobiSummer使用相同的遠程服務

　　4、盡管一半以上的受害者都在亞洲，但CopyCat沒有針對中國用戶

　　雖然有以上證據，但并不代表CopyCat就是MobiSummer干的，也可能是幕后攻擊者使用/濫用了MobiSummer的代碼和服務。

　　最后

　　舊款Android容易遭受CopyCat攻擊，特別是在第三方商店或陌生網站下載應用時。

　　2017年3月，Check Point向Google通報了CopyCat的惡意行為，Google已經更新Play保護服務，可以識別并阻止CopyCat。

　　大家的Android設備，只需保持Play服務更新，就能免受CopyCat侵擾。

責任編輯：韓希宇