CopyCat病毒感染千万安卓设备:却避开中国用户
根据CNET最新报道,安全厂商Check Point的研究人员表示,一种名为 CopyCat 的恶意软件的新变种目前已感染了超过1400万台 Android 设备,该恶意软件可以对被感染的手机进行 Root 操作,劫持用户手机的正常应用!
在过去的两年时间里,谷歌一直在试图追踪 CopyCat 恶意软件,并因此更新了 Play Protect 以防止其继续感染用户的 Android 设备,但很不幸的是,还是有很多用户通过第三方应用下载市场和钓鱼式攻击而中招。
据安全公司估计,目前预计已有将近490万的虚假应用被安装到了受感染的 Android 设备上,显示了最多1亿条广告,在短短两个月时间里就为黑客带去了150万美元以上的非法收入,不过,Check Point 称,目前并没有直接证据表明 CopyCat 是通过谷歌的Google Play应用商店中传播开来的。
据悉,CopyCat 的受害者主要集中在亚洲,印度、巴基斯坦、孟加拉国、印度尼西亚和缅甸也是被感染比较严重的几个国家,另外,美国有超过28万台设备被感染,加拿大有超过38.1万台设备被感染。
不过,值得注意的是,CopyCat 恶意软件会检查被感染的设备是否位于中国境内,并避免中国的用户不受其攻击,而对于这一情况的,Check Point 的研究人员分析,CopyCat 背后的黑客可能是中国人,之所以不攻击中国人则是为了避开中国警方的打击。
前文提到,谷歌追踪 CopyCat 病毒已达两年时间,因此它并不是一款才兴起的 Android 病毒,在2016年4月至5月时曾表现的相当活跃,虽然目前存在的病毒是其新的变种,但并没有什么大的花样,按照目前被感染的设备数量和地区来看,谷歌似乎并没有取得什么实质性的进展,也没有一个有效的解决措施!
根据笔者掌握的资料显示,CopyCat 病毒主要感染的是运行着 Android 5.0 及其更早版本的 Android 设备,通过第三方应用下载和钓鱼式攻击让诸多的 Android 设备,尤其是被 Root 过的手机中招的概率更大。
具体而言,CopyCat 病毒会伪装称第三方应用商店中的一款比较热门的应用,用户未经辨别而下载安装后,就会收集被感染设备的数据,其附带的组件会自动连接云端查找ROOT方案并直接将设备 Root ,简而言之就是能够破坏手机的安全系统,同时远程服务器上还详细的记录了被感染设备的信息,其中包括设备的品牌、型号、系统版本以及所在国家地区等。
当手机本身的安全系统遭到破坏后,CopyCat 就会下载虚假应用,劫持设备上的应用启动栏 Zygote,一旦 Zygote 被控制后,CopyCat 就能轻松知道用户下载的所有新应用和打开的所有应用,然后用自己的信息取代应用的 Referrer ID,并在应用中肆意的弹出或显示广告,又或者是直接采取静默方式在被感染设备上安装推广应用,每一条广告或者安装一个推广应用都能够给背后的黑客带来收益。有的时候 CopyCat 也会发布自己的广告,来获取更多的收入!
前文提到,Check Point 的研究人员分析,CopyCat 背后的黑客可能是中国人,主要是因为其连接的是中国公司的远程服务器,主要证据如下:
1、该木马病毒入侵用户设备后会连接到中国广州沃钛移动(Mobisummer)公司的服务器上;
2、该木马病毒的部分代码使用了 MobiSummer 的数字签名;
3、该木马病毒在检测到中国用户时不会执行任何的操作,即不会感染中国用户的 Android 设备;
那么,CopyCat 背后的黑客是否确属中国人,目前暂时还不能确定,毕竟盗用数字签名的情况相对也比较常见,但其使用的内置 26 套 Root 方案来破解设备等手段和之前中国公司制造的病毒十分相似,而且就目前的证据来看该病毒确实指向了中国公司。
笔者只能说,最好还是希望这款病毒并不是中国公司所为吧,所谓君子爱财取之以道,何必因为一时的贪念毁了大好前程呢!