CopyCat病毒感染千万安卓设备:却避开中国用户

根据CNET最新报道，安全厂商Check Point的研究人员表示，一种名为 CopyCat 的恶意软件的新变种目前已感染了超过1400万台 Android 设备，该恶意软件可以对被感染的手机进行 Root 操作，劫持用户手机的正常应用！

在过去的两年时间里，谷歌一直在试图追踪 CopyCat 恶意软件，并因此更新了 Play Protect 以防止其继续感染用户的 Android 设备，但很不幸的是，还是有很多用户通过第三方应用下载市场和钓鱼式攻击而中招。

据安全公司估计，目前预计已有将近490万的虚假应用被安装到了受感染的 Android 设备上，显示了最多1亿条广告，在短短两个月时间里就为黑客带去了150万美元以上的非法收入，不过，Check Point 称，目前并没有直接证据表明 CopyCat 是通过谷歌的Google Play应用商店中传播开来的。

据悉，CopyCat 的受害者主要集中在亚洲，印度、巴基斯坦、孟加拉国、印度尼西亚和缅甸也是被感染比较严重的几个国家，另外，美国有超过28万台设备被感染，加拿大有超过38.1万台设备被感染。

不过，值得注意的是，CopyCat 恶意软件会检查被感染的设备是否位于中国境内，并避免中国的用户不受其攻击，而对于这一情况的，Check Point 的研究人员分析，CopyCat 背后的黑客可能是中国人，之所以不攻击中国人则是为了避开中国警方的打击。

前文提到，谷歌追踪 CopyCat 病毒已达两年时间，因此它并不是一款才兴起的 Android 病毒，在2016年4月至5月时曾表现的相当活跃，虽然目前存在的病毒是其新的变种，但并没有什么大的花样，按照目前被感染的设备数量和地区来看，谷歌似乎并没有取得什么实质性的进展，也没有一个有效的解决措施！

根据笔者掌握的资料显示，CopyCat 病毒主要感染的是运行着 Android 5.0 及其更早版本的 Android 设备，通过第三方应用下载和钓鱼式攻击让诸多的 Android 设备，尤其是被 Root 过的手机中招的概率更大。

具体而言，CopyCat 病毒会伪装称第三方应用商店中的一款比较热门的应用，用户未经辨别而下载安装后，就会收集被感染设备的数据，其附带的组件会自动连接云端查找ROOT方案并直接将设备 Root ，简而言之就是能够破坏手机的安全系统，同时远程服务器上还详细的记录了被感染设备的信息，其中包括设备的品牌、型号、系统版本以及所在国家地区等。

当手机本身的安全系统遭到破坏后，CopyCat 就会下载虚假应用，劫持设备上的应用启动栏 Zygote，一旦 Zygote 被控制后，CopyCat 就能轻松知道用户下载的所有新应用和打开的所有应用，然后用自己的信息取代应用的 Referrer ID，并在应用中肆意的弹出或显示广告，又或者是直接采取静默方式在被感染设备上安装推广应用，每一条广告或者安装一个推广应用都能够给背后的黑客带来收益。有的时候 CopyCat 也会发布自己的广告，来获取更多的收入！

前文提到，Check Point 的研究人员分析，CopyCat 背后的黑客可能是中国人，主要是因为其连接的是中国公司的远程服务器，主要证据如下：

1、该木马病毒入侵用户设备后会连接到中国广州沃钛移动(Mobisummer)公司的服务器上；

2、该木马病毒的部分代码使用了 MobiSummer 的数字签名；

3、该木马病毒在检测到中国用户时不会执行任何的操作，即不会感染中国用户的 Android 设备；

那么，CopyCat 背后的黑客是否确属中国人，目前暂时还不能确定，毕竟盗用数字签名的情况相对也比较常见，但其使用的内置 26 套 Root 方案来破解设备等手段和之前中国公司制造的病毒十分相似，而且就目前的证据来看该病毒确实指向了中国公司。

笔者只能说，最好还是希望这款病毒并不是中国公司所为吧，所谓君子爱财取之以道，何必因为一时的贪念毁了大好前程呢！