Android: 14 εκατ. συσκευές μολύνθηκαν με το CopyCat Malware

Τουλάχιστον 14 εκατ. Android συσκευές έχουν μολυνθεί από το κακόβουλο λογισμικό CopyCat, το οποίο τις κάνει root, σύμφωνα με την Check Point Software Technologies.

Όπως ανέφερε η CheckPoint, το κακόβουλο λογισμικό ξεκίνησε τη δράση του πέρυσι κι απ’ότι φαίνεται εγκαταστάθηκε στις μολυσμένες συσκευές μέσω εφαρμογών που δεν ανήκαν στο Google Play Store.

Το CopyCat προσποιείται ότι είναι κάποια δημοφιλής εφαρμογή σε καταστήματα τρίτων, όπως για παράδειγμα η SimSimi. Όταν ο χρήστης το κατεβάσει, το CopyCat συλλέγει δεδομένα για τη μολυσμένη συσκευή και κατεβάζει rootkits προκειμένου να την κάνει root.

Από εκεί και πέρα, το κακόβουλο λογισμικό μπορεί να κατεβάσει ψεύτικες εφαρμογές και να αποκτήσει τον έλεγχο του Zygote, το οποίο στην ουσία ξεκινά κάθε εφαρμογή στη συσκευή.

Το CopyCat μπορεί να αντικαταστήσει τη Referrer ID της εφαρμογής με τη δική του κι έτσι η εφαρμογή θα στέλνει οποιαδήποτε έσοδα προκύπτουν από τις διαφημίσεις της εφαρμογής στους χάκερ. Επιπλέον, μπορεί να εμφανίζει και δικές του διαφημίσεις για επιπλέον κέρδος.

Η CheckPoint υπολογίζει ότι μέχρι στιγμής έχει γίνει root σε 8 εκατ. συσκευές και έχουν εγκατασταθεί 4,9 εκατ. ψεύτικες εφαρμογές και έχουν προβληθεί 100 εκατ. ψεύτικες διαφημίσεις.

Από τη δραστηριότητά του αυτή το CopyCat υπολογίζεται ότι αποκόμισε 1,5 εκατ. δολ.

Φαίνεται ότι το malware αποφεύγει τους χρήστες που βρίσκονται στην Κίνα, κάτι που κάνει την CheckPoint να πιστεύει ότι αυτό συμβαίνει επειδή τα άτομα πίσω από το CopyCat βρίσκονται στην Κίνα κι επομένως δεν θέλουν να έχουν μπλεξίματα με τον νόμο.
Παρόλο που δεν είναι σίγουρο, η CheckPoint, υποψιάζεται ότι πίσω από τις επιθέσεις βρίσκεται η MobiSummer, μια κινέζικη ad-tech startup. Η πλειοψηφία των συσκευών που μολύνθηκαν είναι σε Ινδία, Μπαγκλαντές, Ινδονησία, Πακιστάν και Μυανμάρ, ενώ υπήρξαν κι αρκετές μολυσμένες συσκευές σε ΗΠΑ και Καναδά.

Το CopyCat προσβάλει συσκευές που τρέχουν τις εκδόσεις του Android μέχρι και την έκδοση 5.0. Σύμφωνα με την CheckPoint η μεγαλύτερη ζημιά από το CopyCat έγινε μεταξύ Απριλίου και Μαΐου του 2016, αλλά ακόμη υφίσταται με τη δραστηριότητά του να έχει περιοριστεί σημαντικά απ’όταν η Google το πρόσθεσε στη “μαύρη λίστα” του Play Protect.

Πηγή: techblog.gr