信息來源：freebuff

新發(fā)現(xiàn)的惡意程序已經(jīng)感染了超過1400萬Android設備，在短短兩個月內已經(jīng)獲取了150萬美元的收入。

這款惡意軟件名為CopyCat，它能夠對感染的設備進行root，持久駐足系統(tǒng)，或者向Zygote注入惡意代碼，Zygote是個專門用于在Android上啟動應用程序的服務。通過這一系列方法，黑客就能夠獲得設備的所有權限。

800萬設備被root

根據(jù)CheckPoint研究人員的調查，CopyCat已經(jīng)感染了1400萬設備，其中800萬臺已經(jīng)被root，而380萬的設備被用來展示廣告，440萬設備被用來在Google Play安裝應用。

受感染的用戶主要在南亞和東南亞，其中印度受到的影響最大，而在美國也有超過280,000臺設備被感染。

由于沒有證據(jù)表明CopyCat由GooglePlay傳播，因此Check Point的研究員認為大量的用戶是從第三方商店下載了應用，或者遭受到了釣魚攻擊。

跟Gooligan一樣，CopyCat也使用了最先進的技術來進行各種形式的廣告欺詐。

CopyCat用到了幾個漏洞，包括CVE-2013-6282(VROOT), CVE-2015-3636 (PingPongRoot), 和CVE-2014-3153(Towelroot)。這幾個漏洞能夠root Android 5.0之前的設備，但其實漏洞本身已經(jīng)非常老了，最近的一個也已經(jīng)是2年前的了。其實那么多設備仍然中招也從側面反映出Android平臺碎片化嚴重。

感染流程

首先CopyCat會在第三方市場偽裝成流行的Android應用。被用戶下載后，軟件會開始手機感染設備的信息，然后下載相應的rootkit幫助root手機。

Root設備后，CopyCat會移除設備上的安全防御機制，然后向Zygote應用啟動進程植入代碼，從而安裝欺詐應用顯示廣告賺取利潤。

 “CopyCat會利用Zygote進程顯示欺詐廣告并且隱藏廣告的來源，讓用戶難以追蹤到廣告到底是哪個程序引起的?！盋heck Point研究員稱。

 “CopyCat還會使用一個另外的模塊直接安裝欺詐應用到設備上，由于感染量巨大，這些操作都會為CopyCat作者帶來大量利潤。”

兩個月的時間里，CopyCat賺取了150萬美元，主要的收入（超過735,000美元）來自490萬的安裝量，在這些受感染的手機上，CopyCat顯示了1億支廣告。

主要的受害者們位于印度、巴基斯坦、孟加拉、印尼、緬甸，另外有超過381,000臺受感染設備位于加拿大，280,000臺位于美國。

中國公司是幕后黑手？

跟眾多間諜軟件一樣，研究人員再一次把矛頭指向中國公司。

這次被懷疑的是一家中國的廣告公司MobiSummer（沃鈦移動）。根據(jù)官方介紹，沃鈦移動（Mobisummer）是一家成立于2014年的初創(chuàng)公司，辦公室位于廣州，是一家植根于移動互聯(lián)網(wǎng)，專注于效果營銷的廣告投放平臺公司，業(yè)務內容涵蓋： Performance Network、Social Ads、Search、Display Ads、Offline等，為廣告主提供用戶獲取及流量變現(xiàn)的一站式解決方案，合作伙伴包括百度、阿里巴巴等。

研究人員羅列了一些證據(jù)：

CopyCat與MobiSummer使用了同一臺服務器

CopyCat中的一些代碼是有MobiSummer簽名的

CopyCat與MobiSummer使用了相同的遠程服務

盡管受害者大多在亞洲，CopyCat卻沒有攻擊中國用戶

Android舊設備現(xiàn)在仍然會受到CopyCat的攻擊，但前提是他們從第三方應用商店下載應用。實際上這對于中國用戶基本是無法避免的，萬幸的是CopyCat不針對中國用戶。

2017年3月Check Point向Google匯報了其發(fā)現(xiàn)，現(xiàn)在Google已經(jīng)更新了其Play Protect規(guī)則，在用戶安裝惡意應用時會提醒用戶。