Вирус CopyCat атаковал 14 млн пользователей Android

Автор: Богдан Чуб, 11 июля 2017, 13:50

Специалисты компании Check Point Software Technologies составили подробный отчет о вирусе CopyCat, который атаковал свыше 14 миллионов устройств на базе Android. Это не новый зловред — пик его активности пришелся на весну 2016 года, но в мире насчитывается еще около 50 000 зараженных гаджетов.

Китайский след

Больше всего от кибератаки пострадали жители Юго-Восточной Азии, но при этом вирус обошел стороной Китай. Исследователи считают, что CopyCat создали китайские хакеры, решившие избежать расследования со стороны местных властей. Злоумышленники также использовали серверы и код местной рекламной сети MobiSummer (ее владельцы могли ничего не знать о постороннем вмешательстве). Активность трояна фиксировалась и в других странах мира, только в США от него пострадало порядка 280 000 пользователей.

CopyCat распространялся через сторонние магазины приложений и фишинг-атаки. Пробраться в Google Play ему не удалось, хотя в Check Point отмечают, что «зараза» неплохо маскировалась от мобильных антивирусов. Чаще всего подобный софт сканирует только Java-приложения, а потому использование C++ и простого шифрования позволяло успешно пройти проверку сигнатур без обнаружения.

Золотая жила

Злоумышленники эксплуатировали пять уязвимостей в Android 5.0 Lollipop и более старых версиях ОС. Вирус имеет модульную структуру и может выполнять разные задачи. Получив права администратора на более чем 8 миллионах смартфонов и планшетов, он встраивал свой код в системный процесс Zygote, который используется приложениями при запуске. Хакеры заменяли идентификатор программы на свой и получали прибыль от показа рекламы. Для этих целей CopyCat также установил на устройства почти 4.9 миллиона поддельных приложений, через которые прошло свыше 100 миллионов рекламных объявлений. По оценкам экспертов Check Point, всего за два месяца на пике атаки (апрель-май 2016 года) создатели вируса обогатились на $1.5 миллиона.

Активность CopyCat пошла на спад в мае 2016 года после того, как зловред попал в черный список системы Google Play Protect, которая следит за безопасностью устройства (если на нем доступны сервисы поискового гиганта).

Источник: Fortune, Check Point

Анонсы вирусы

Другие материалы по теме: