Check Point以色列捷邦安全软件科技有限公司的移动威胁研究人员最近发现一种针对移动设备的恶意软件,并称之为CopyCat。它目前已经感染了1,400万部安卓设备,获取了其中800万部的root权限,在短短两个月内,黑客通过使用CopyCat 已经赚取了约150万美元的假冒广告收入。
Check Point 移动威胁研究人员指出,CopyCat采用一种新的技术来制造和窃取广告收入。CopyCat 主要感染位于东南亚的用户,但它也传播至美国,感染了超过28万名安卓设备用户。
CopyCat是一款完全开发的恶意软件,具有强大的功能,包括对设备获取root权限,能持续进行攻击,以及将代码注入Zygote(Zygote负责在安卓操作系统中启动应用程序),因此它可以控制设备上的任何活动。
CopyCat 是在意图攻击一家受Check Point SandBlast Mobile保护的企业时被发现,Check Point研究人员从这款恶意软件的命令与控制服务器中检索到信息,并且对其内部工作方式进行了完整的逆向操作工程,这些资料在其全面的技术报告中有详细介绍。
CopyCat攻击在2016年4月和5月达到顶峰。研究人员相信此次大型攻击是通过把恶意软件与流行应用程序结合重新包装,然后通过第三方应用商店进行散播,以及采用钓鱼欺诈手段。目前没有证据说明CopyCat是通过Google的官方应用商店Google Play进行发布。
2017年3月,Check Point向Google通报了CopyCat恶意软件以及其操作方法。据Google介绍,他们可以应对这次攻击,并且当前受感染的设备数量远远低于攻击高峰时期。不幸的是,已经受到CopyCat恶意软件感染的设备,至今仍然受到这款病毒的影响。
CopyCat是如何操作的?
CopyCat恶意软件感染全球1,400万部设备,对其中约800万部设备获取了root权限,这被研究人员称为是前所未有的攻击成功率。研究人员也表示此恶意软件为黑客创造了150万美元的广告收入。
CopyCat恶意软件采用最新的技术来衍生出多种形式的广告欺诈方式,与Check Point 之前发现的恶意软件Gooligan,DressCode和Skinner相似。一旦感染,CopyCat首先获取用户设备root权限,允许攻击者完全控制设备,并且基本上致使用户毫无办法。
CopyCat将代码注入Zygote应用程序启动功能,允许攻击者利用自己的ID来替换真正推荐人ID,从而获得许可安装欺诈性的应用程序来获得收入。另外,CopyCat使得Zygote发布欺诈性的广告而隐藏他们的真实来源,使得用户难以理解为何这些广告会在屏幕上弹出。CopyCat也使用单独的模块直接在设备上安装欺诈性应用程序。CopyCat恶意软件致使大规模的设备遭受感染,为背后的黑客聚敛巨额钱财。
CopyCat 的灾区分布图
CopyCat的祸害
Check Point研究人员调查了2016年4月到5月期间活跃的其中一台命令与控制服务器,纪录下超过1,400万部受感染设备,其中800万(54%)的设备已被获取root权限。有380万(26%)受感染设备显示欺诈广告,440万设备或30%受感染设备的信用凭证被窃取,用于在Google Play上安装应用程序。
攻击者获得的收益预计超出150万美元,大部分都是在短短两个月内赚到的。CopyCat制造的近1亿条恶意软件广告,总共产生利润多达12万美元。因为我们只能测量出多少设备感染上欺诈性安装套利,而不知道该类活动发生的次数,只能保守估计每台设备只执行一次该类活动。如此计算,攻击者从中赚到的利润预计超过66万美元。最大的收益来源是CopyCat骗取的490万个欺诈性应用程序的安装,从中产生多达73.5万美元的利润。
CopyCat肆虐最厉害的12个国家
如何防御CopyCat
如CopyCat这般复杂的恶意软件要求先进的防护手段,能够通过静态和动态的应用程序分析识别和封锁零日恶意软件的攻击。只有在一个设备上监测到恶意软件的操作环境,才能制定策略,成功封锁。用户和企业应把移动设备视为网络中的其它设备一样对待,并通过最佳的网络安全解决方案保护它们。
Check Point的用户受到SandBlast Mobile的保护,网络前端由Check Point Anti-Bot blade执行防御,可以有效抵御带有Trojan.AndroidOS.CopyCat签名特征的CopyCat恶意软件。
好文章,需要你的鼓励
OpenAI意外发现规模假说:Dota 2项目中计算资源翻倍带来AI表现翻倍,彻底改变行业轨迹。Greg Brockman揭秘GPT-3产品化困境:"我们不知道谁会为API付费",最终市场自己找到了出路。AI医疗突破只需超越WebMD,个性化咨询正在重塑多个领域。
耶鲁大学研究团队开发了SCIVER评估工具,专门测试AI验证科学论文声明的能力。通过3000个专家标注例子的测试,发现即使最先进的AI模型在复杂科学推理任务上仍远不如人类专家,主要存在信息检索不全、图表误读和逻辑推理断裂等问题,为AI科研应用发展指明了改进方向。
存储行业近期动态频繁,Arctera、Wasabi和TD SYNNEX联合推出渠道专属数据保护解决方案;AWS启用EC2环境SAN启动功能;Broadcom发布VMware Cloud Foundation 9.0版本;Commvault与Kyndryl合作提升网络弹性服务;CTERA成为首家支持模型上下文协议的混合云存储供应商;多家企业获得新一轮融资,推动AI基础设施和数据管理技术发展。
马里兰大学团队开发出PrefBERT智能评价系统,解决了AI在开放性写作任务中缺乏有效质量评判标准的问题。该系统通过学习人类专家评分标准,能准确评判文章质量,显著提升AI生成内容的质量和人类偏好一致性,为AI训练提供了新的质量导向解决方案。