“CopyCat”能root受感染设备、保持持续访问权限并将恶意代码注入守护进程Zygote中。Zygote用于发布安卓app,为黑客提供全部的访问权限。
1400万台设备受感染;其中800万台被root
研究人员指出,“CopyCat”恶意软件已感染1400万台设备,其中近800万台设备被root;380万台设备传播广告,440万台设备用于窃取在谷歌应用商店安装app的信誉。
大部分受害者位于南亚和东南亚,其中印度受影响最大;超过28万台位于美国的安卓设备也受影响。
跟Gooligan一样,“CopyCat”恶意软件还利用“先进技术”实施多种广告欺诈活动。“CopyCat”使用多个利用代码如CVE-2013-6282 (VROOT)、CVE-2015-3636 (PingPongRoot) 和CVE-2014-3153 (Towerroot) 攻击运行安卓5.0及之前版本的设备。这些版本的使用范围广且非常老旧。攻击的成功说明数百万名用户依然
“CopyCat”如何感染设备
“CopyCat”会伪装成用户从第三方应用商店下载的流行安卓app。一旦被下载,它就会开始收集关于被感染设备的信息并下载后门root用户手机。随后,“CopyCat”会删除设备的安全防御措施并将代码注入Zygote app,启动进程安装app并显示广告从中牟利。
研究人员指出,“CopyCat”利用Zygote进程显示欺诈广告并隐藏其来源,这样用户就难以理解屏幕上为何会弹出广告。“CopyCat”还会直接将欺诈广告安装到设备上。这些活动会为操作者带来丰厚利益。
在仅为2个月的时间里,“CopyCat”恶意软件就给黑客牟利150多万美元。主要收集来自近490万次安装,显示有1亿次广告。多数受害者位于印度、巴基斯坦、巴格达、印度尼西亚和缅甸,不过超过38.1万台设备位于加拿大,而超过28万台设备位于美国。
沃钛移动被指为幕后黑手
虽然并未有直接证据标明“CopyCat”恶意软件的幕后黑手是谁,但研究人员认为中国广告公司沃钛移动跟“CopyCat”恶意软件之间存在诸多关联:
“CopyCat”恶意软件和沃钛移动都在同一台服务器上操作
多行“CopyCat”代码是由沃钛移动签名的
“CopyCat”和“沃钛移动”使用相同的远程服务
“CopyCat”并没有针对中国用户发动攻击,然而超半数受害者位于亚洲
运行老旧安卓版本的用户仍然易受“CopyCat”攻击,不过只有在从第三方应用商店下载app的用户才受影响。2017年3月份,Check Point研究员告知谷歌关于“CopyCat”攻击活动的情况。谷歌已更新Play Protect拦截该恶意软件。因此即使运行老旧设备的安卓用户也受到Play Protect的保护。原文链接:http://bobao.360.cn/news/detail/4218.html
- 蜜度索骥:以跨模态检索技术助力“企宣”向上生长
- Crunchbase:2024年AI网络安全行业风险投资超过26亿美元
- 调查报告:AI与云重塑IT格局,77%的IT领导者视网络安全为首要挑战
- 长江存储发布声明:从无“借壳上市”意愿
- 泛微·数智大脑Xiaoe.AI正式发布,千人现场体验数智化运营场景
- IDC:2024年第三季度北美IT分销商收入增长至202亿美元
- AI成为双刃剑!凯捷调查:97%组织遭遇过GenAI漏洞攻击
- openEuler开源五年树立新里程碑,累计装机量突破1000万
- 创想 华彩新程!2024柯尼卡美能达媒体沟通会焕新增长之道
- 操作系统大会2024即将在京召开,见证openEuler发展新里程
- Gartner:AI引领欧洲IT支出激增,2025年将支出1.28万亿美元
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。