网络安全公司Check Point的研究人员周四表示,新版恶意软件“CopyCat”已经导致全球范围内的1400多万台Android设备遭受感染。该病毒可以ROOT手机和劫持应用,并且已经借此牟利数百万美元。
研究人员称,虽然病毒的受害者大多来自亚洲,但是在美国,也有超过28万台安卓设备遭受攻击。Google在过去两年内一直在跟踪该恶意软件,并且已经升级了Play Project系统来抵御攻击。大部分的受害者都是使用了第三方的商店或从未知来源下载了App导致手机中毒。据估计,已经有490万个虚假应用安装到了受感染的设备上。
据Check Point称,目前没有证据表明CopyCat是通过Google Play应用商店传播的。CopyCat正如其名一样,是通过假冒其他流行应用来欺骗用户的。一旦用户下载了这种假冒的恶意应用软件,它就会收集受感染设备的数据,下载ROOT工具来ROOT受感染的设备,从而切断其安全系统。然后,CopyCat就可以下载各种虚假应用,劫持受感染设备的应用启动程序Zygote。一旦它控制住Zygote,它就能知道你下载过哪些新的应用程序以及你打开的每一款应用程序。
CopyCat可以用它自己的推荐者ID(Referrer ID)来替换受感染设备上的每一款应用程序的推荐者ID,这样在应用程序上弹出的每一个广告都会为黑客创造收益,而不是为应用开发者创造广告收益。每隔一段时间,CopyCat还会发布自己的广告来增加收入。
Check Point估计,现在已有近490万个虚假应用被安装到受感染的设备上,它们能够显示1亿条广告。仅仅两个月,CopyCat就会黑客赚到了150万美元的广告收入。
这款恶意软件的绝大多数受害者来自印度、巴基斯坦、孟加拉国、印度尼西亚和缅甸。在加拿大,也有超过38万部Android设备受到感染。
这种恶意软件通过5个漏洞传播,这些安全漏洞主要存在于Android 5.0或更早版本的系统中,这些漏洞已在两年多以前被发现和修复。但是如果Android用户在第三方应用市场下载应用,他们仍然会受到攻击。
这种软件还可以检测受影响设备是否来自中国,而中国的受害人并未遭到攻击。Check Point的研究人员认为,这是因为病毒的制作者是中国人,因此试图避开中国警方的追查。