据外媒报道,美国安全软件厂商 Check Point 的研究人员周四表示,恶意软件 CopyCat 的最新变种开始在全球肆虐,目前已经感染了 1400 万部 Android 设备。这种新病毒通过 ROOT 手机和劫持应用程序获利,据说已经获得了数百万美元的欺诈性广告收入。
虽然大多数受害者都在亚洲,但是美国也有超过 28 万部 Android 设备遭到大规模黑客攻击。
谷歌在过去的两年里一直在追踪 CopyCat 恶意软件,并且升级了安全软件 Play Protect 来拦截该恶意软件,但是仍有数百万人因为下载第三方应用和钓鱼攻击而受到攻击。
据 Check Point 称,目前没有证据表明 CopyCat 是通过 Google Play 应用商店传播的。
谷歌在声明中表示:“Play Protect 可以保护用户不受被感染应用的影响。”
CopyCat 正如其名一样,是通过假冒其他流行应用来欺骗用户的。一旦用户下载了这种假冒的恶意应用软件,它就会收集受感染设备的数据,下载 ROOT 工具来 ROOT 受感染的设备,从而切断其安全系统。
然后,CopyCat 就可以下载各种虚假应用,劫持受感染设备的应用启动程序 Zygote。一旦它控制住 Zygote,它就能知道你下载过哪些新的应用程序以及你打开的每一款应用程序。
CopyCat 可以用它自己的推荐者 ID(Referrer ID)来替换受感染设备上的每一款应用程序的推荐者 ID,这样在应用程序上弹出的每一个广告都会为黑客创造收益,而不是为应用开发者创造广告收益。每隔一段时间,CopyCat 还会发布自己的广告来增加收入。
Check Point 估计,现在已有近 490 万个虚假应用被安装到受感染的设备上,它们能够显示 1 亿条广告。仅仅两个月,CopyCat 就会黑客赚到了 150 万美元的广告收入。
这款恶意软件的绝大多数受害者来自印度、巴基斯坦、孟加拉国、印度尼西亚和缅甸。在加拿大,也有超过 38 万部 Android 设备受到感染。
这种恶意软件通过 5 个漏洞传播,这些安全漏洞主要存在于 Android 5.0 或更早版本的系统中,这些漏洞已在两年多以前被发现和修复。但是如果 Android 用户在第三方应用市场下载应用,他们仍然会受到攻击。
Check Point 说:“这些旧的漏洞仍然有效,因为很多用户并不经常或者根本不修复设备的漏洞。”
谷歌表示,只要使用 Play Protect 软件,再老旧的 Android 设备也不会受到 CopyCat 的影响,因为 Play Protect 软件会定期更新。
CopyCat 的受害者数量在 2016 年 4 月到 5 月期间达到顶峰,自从谷歌将它列入 Play Protect 的黑名单之后,受害者数量的增长速度就减慢了。但是 Check Point 认为,现在仍有不少 Android 设备正在受到这款恶意软件的折磨。