CheckPoint解析CopyCat惡意軟件如何感染全球Android設備

　　Check Point 移動(dòng)威脅研究人員指出，CopyCat采用一種新的技術(shù)來(lái)制造和竊取廣告收入。CopyCat 主要感染位于東南亞的用戶(hù)，但它也傳播至美國，感染了超過(guò)28萬(wàn)名安卓設備用戶(hù)。

　　CopyCat是一款完全開(kāi)發(fā)的惡意軟件，具有強大的功能，包括對設備獲取root權限，能持續進(jìn)行攻擊，以及將代碼注入Zygote（Zygote負責在安卓操作系統中啟動(dòng)應用程序），因此它可以控制設備上的任何活動(dòng)。

　　CopyCat 是在意圖攻擊一家受Check Point SandBlast Mobile保護的企業(yè)時(shí)被發(fā)現，Check Point研究人員從這款?lèi)阂廛浖�的命令與控制服務(wù)器中檢索到信息，并且對其內部工作方式進(jìn)行了完整的逆向操作工程，這些資料在其全面的技術(shù)報告 中有詳細介紹。

　　CopyCat攻擊在2016年4月和5月達到頂峰。研究人員相信此次大型攻擊是通過(guò)把惡意軟件與流行應用程序結合重新包裝，然后通過(guò)第三方應用商店進(jìn)行散播，以及采用釣魚(yú)欺詐手段。目前沒(méi)有證據說(shuō)明CopyCat是通過(guò)Google的官方應用商店Google Play進(jìn)行發(fā)布。

　　2017年3月，Check Point向Google通報了CopyCat惡意軟件以及其操作方法。據Google介紹，他們可以應對這次攻擊，并且當前受感染的設備數量遠遠低于攻擊高峰時(shí)期。不幸的是，已經(jīng)受到CopyCat惡意軟件感染的設備，至今仍然受到這款病毒的影響。

　　CopyCat惡意軟件感染全球1,400萬(wàn)部設備，對其中約800萬(wàn)部設備獲取了root權限，這被研究人員稱(chēng)為是前所未有的攻擊成功率。研究人員也表示此惡意軟件為黑客創(chuàng )造了150萬(wàn)美元的廣告收入。

　　CopyCat惡意軟件采用最新的技術(shù)來(lái)衍生出多種形式的廣告欺詐方式，與Check Point 之前發(fā)現的惡意軟件Gooligan , DressCode 和 Skinner 相似。一旦感染，CopyCat首先獲取用戶(hù)設備root權限，允許攻擊者完全控制設備，并且基本上致使用戶(hù)毫無(wú)辦法。

　　CopyCat將代碼注入Zygote應用程序啟動(dòng)功能，允許攻擊者利用自己的ID來(lái)替換真正推薦人ID，從而獲得許可安裝欺詐性的應用程序來(lái)獲得收入。另外，CopyCat使得Zygote發(fā)布欺詐性的廣告而隱藏他們的真實(shí)來(lái)源，使得用戶(hù)難以理解為何這些廣告會(huì )在屏幕上彈出。CopyCat也使用單獨的模塊直接在設備上安裝欺詐性應用程序。CopyCat惡意軟件致使大規模的設備遭受感染，為背后的黑客聚斂巨額錢(qián)財。

　　Check Point研究人員調查了2016年4月到5月期間活躍的其中一臺命令與控制服務(wù)器，紀錄下超過(guò)1,400萬(wàn)部受感染設備，其中800萬(wàn)（54%）的設備已被獲取root權限。有380萬(wàn)（26%）受感染設備顯示欺詐廣告，440萬(wàn)設備或30%受感染設備的信用憑證被竊取，用于在Google Play上安裝應用程序。

　　攻擊者獲得的收益預計超出150萬(wàn)美元，大部分都是在短短兩個(gè)月內賺到的。CopyCat 制造的近1億條惡意軟件廣告，總共產(chǎn)生利潤多達12萬(wàn)美元。因為我們只能測量出多少設備感染上欺詐性安裝套利，而不知道該類(lèi)活動(dòng)發(fā)生的次數，只能保守估計每臺設備只執行一次該類(lèi)活動(dòng)。如此計算，攻擊者從中賺到的利潤預計超過(guò)66萬(wàn)美元。最大的收益來(lái)源是CopyCat騙取的490萬(wàn)個(gè)欺詐性應用程序的安裝，從中產(chǎn)生多達73.5萬(wàn)美元的利潤。

　　如CopyCat這般復雜的惡意軟件要求先進(jìn)的防護手段，能夠通過(guò)靜態(tài)和動(dòng)態(tài)的應用程序分析識別和封鎖零日惡意軟件的攻擊。只有在一個(gè)設備上監測到惡意軟件的操作環(huán)境，才能制定策略，成功封鎖。用戶(hù)和企業(yè)應把移動(dòng)設備視為網(wǎng)絡(luò )中的其它設備一樣對待，并通過(guò)最佳的網(wǎng)絡(luò )安全解決方案保護它們。

　　Check Point的用戶(hù)受到SandBlast Mobile的保護，網(wǎng)絡(luò )前端由Check Point Anti-Bot blade執行防御，可以有效抵御帶有Trojan.AndroidOS.CopyCat簽名特征的CopyCat惡意軟件。

　　Check Point以色列捷邦安全軟件科技有限公司（www.checkpoint.com.cn）是全球最大的專(zhuān)注于安全的解決方案提供商，為各界客戶(hù)提供業(yè)界領(lǐng)先的解決方案抵御惡意軟件和各種威脅。Check Point提供全方位的安全解決方案包括從企業(yè)網(wǎng)絡(luò )到移動(dòng)設備的安全保護，以及最全面和可視化的安全管理方案。Check Point現為十多萬(wàn)不同規模的組織提供安全保護。