根据美国新闻媒体网站 eWeek 报导,安全软件厂商 Check Point 的研究人员表示,恶意软件 CopyCat 的最新变种开始在全球肆虐,目前已经感染了全球约 1,400 万部 Android 设备。这种新病毒将会透过 ROOT 手机和挟持应用程序来获利,据说已经获得了数百万美元的诈欺性广告收入。目前虽然大多数受害者都在亚洲,但是美国也已经有超过 28 万部 Android 设备遭到大规模的攻击。
报导指出,虽然 Google 过去两年内一直在追踪 CopyCat 恶意软件,并升级安全软件 Play Protect 来进行拦截。但是,仍有数百万人因为自第三方市场下载应用程序,或感染钓鱼程式受到 CopyCat 攻击。据 Check Point 的研究数据显示,目前没有证据说明 CopyCat 是透过 Google Play 应用商店传播。因此 Google 声明表示,Play Protect 可以保护用户不受影响。
Check Point 进一步指出,CopyCat 是透过假冒其他流行应用程序来欺骗用户。一旦用户下载假冒的恶意应用软件,它就会收集受感染设备的数据资料,然后下载 ROOT 工具来 ROOT 设备,进而切断安全系统。之后 CopyCat 就可下载各种假造的应用程序,挟持受感染设备的应用启动程式 Zygote。而一旦控制住 Zygote,就能知道使用者下载过哪些新应用程序,以及每款使用过的应用程序。
最后,CopyCat 会利用骇客的 ID 替换受感染设备上的每款应用程序的使用者 ID。如此,在应用程序上弹出的每个广告都会为骇客创造收益。甚至每隔一段时间,CopyCat 还会发布自己的广告以增加收入。根据 Check Point 估计,现在已有近 490 万个假造的应用程序安装到受感染的设备,它们能够显示 1 亿条广告。仅仅两个月时间,CopyCat 就可为骇客赚到超过 150 万美元的广告收入。
据了解,这款恶意软件的大多数受害者来自印度、巴基斯坦、孟加拉、印尼和缅甸。目前在加拿大,也有超过 38 万部 Android 设备受到感染。
Check Point 指出,这种恶意软件是透过 5 个漏洞进行传递,而这些安全漏洞主要存在于 Android 5.0 或更早版本的系统中。虽然,这些漏洞已在 2 年多前就已发现和修复。但如果用户透过第三方应用市场下载应用程序,仍有机会受感染。Google 表示,只要使用 Play Protect 软件,再老旧版本的 Android 设备也不会受 CopyCat 影响,因为 Play Protect 软件会定期更新。
CopyCat 的受害者数量在 2016 年 4 月到 5 月期间达到顶峰。自 Google 将它列入 Play Protect 控制后,增长速度就逐步减缓。但 Check Point 藉研究数字观察后认为,当前仍有不少 Android 设备正受这款恶意软件的攻击与控制。
(首图来源:Flickr/Blogtrepreneur CC BY 2.0)
