CopyCat感染1400萬臺Android設備

 據CNET北京時間7月7日報道，安全廠商Check Point研究人員當地時間周四表示，一種被稱作CopyCat的惡意件感染了逾1400萬臺Android設備，對手機越獄，劫持應用，獲得數百萬美元欺詐廣告營收。

雖然CopyCat受害者主要在亞洲，但美國也有逾28萬臺Android設備中招。過去2年谷歌一直在追蹤CopyCat，并更新了Play Protect，防止這款惡意件興風作浪，但是，仍然有數以百萬計的受害者通過第三方應用下載和釣魚式攻擊中招。

據Check Point稱，沒有證據表明CopyCat在Google Play上傳播。

谷歌在一份聲明中說，“Play Protect能保護家庭用戶的安全，沒有發現感染有CopyCat的應用通過Play發布。”

CopyCat偽裝成一款在第三方應用商店中非常流行的一款應用。一旦下載、安裝后，這款應用會收集被感染設備的數據，并下載越獄工具，幫助對手機進行越獄，相當于破壞了手機的安全系統。

然后，CopyCat會下載虛假應用，劫持設備上的應用啟動欄Zygote。一旦控制Zygote，它會知道用戶下載的所有新應用以及打開的所有應用。

CopyCat會用自己的信息取代應用的Referrer ID，因此應用中顯示的每條廣告，都會給黑客而非應用開發者帶來營收。CopyCat有時也會發布自己的廣告，獲得更多報酬。

被CopyCat感染的設備安裝有近490萬款虛假應用，顯示了至多1億條廣告。Check Point估計，僅2個月內，CopyCat幫助黑客創收逾150萬美元。

惡意件還會檢查被感染的設備是否位于中國境內。中國受害者不會受到攻擊，Check Point研究人員認為，原因可能是，網絡犯罪分子是中國人，不攻擊中國人旨在避開警方打擊。

雖然沒有直接證據表明誰是CopyCat的幕后黑手，但CopyCat和中國移動廣告網絡沃鈦移動之間有一定聯系。CopyCat和沃鈦移動在同一服務器上“運行”，CopyCat代碼中有數行是由MobiSummer簽名的。它們還使用了相同的遠程服務。

絕大多數受害者位于印度、巴基斯坦、孟加拉國、印度尼西亞和緬甸。在加拿大，逾38.1萬臺設備感染了CopyCat。

CopyCat感染運行Android 5.0及更早版本Android的設備，在2年前就已經被發現，利用的缺陷也得到修復。如果從第三方應用商店下載應用，運行舊版Android的用戶仍然會受到CopyCat攻擊。

Check Point說，“由于用戶不經常，甚至從來不為設備安裝補丁軟件，CopyCat的攻擊方法仍然有效。”

谷歌表示，通過使用Play Protect，運行老版本Android的設備也不會受到CopyCat攻擊。

CopyCat在2016年4–5月期間攻擊的用戶最多，谷歌把它列入Play Protect的黑名單后，攻擊速度有所放緩，但Check Point認為，被感染的設備仍然會遭受CopyCat攻擊。