Check Point以色列捷邦安全软件科技有限公司的移动威胁研究人员最近发现一种针对移动设备的恶意软件,并称之为CopyCat。它目前已经感染了1,400万部安卓设备,获取了其中800万部的root权限,在短短两个月内,黑客通过使用CopyCat 已经赚取了约150万美元的假冒广告收入。
Check Point 移动威胁研究人员指出,CopyCat采用一种新的技术来制造和窃取广告收入。CopyCat 主要感染位于东南亚的用户,但它也传播至美国,感染了超过28万名安卓设备用户。
CopyCat是一款完全开发的恶意软件,具有强大的功能,包括对设备获取root权限,能持续进行攻击,以及将代码注入Zygote(Zygote负责在安卓操作系统中启动应用程序),因此它可以控制设备上的任何活动。
CopyCat 是在意图攻击一家受Check Point SandBlast Mobile保护的企业时被发现,Check Point研究人员从这款恶意软件的命令与控制服务器中检索到信息,并且对其内部工作方式进行了完整的逆向操作工程,这些资料在其全面的技术报告中有详细介绍。
CopyCat攻击在2016年4月和5月达到顶峰。研究人员相信此次大型攻击是通过把恶意软件与流行应用程序结合重新包装,然后通过第三方应用商店进行散播,以及采用钓鱼欺诈手段。目前没有证据说明CopyCat是通过Google的官方应用商店Google Play进行发布。
2017年3月,Check Point向Google通报了CopyCat恶意软件以及其操作方法。据Google介绍,他们可以应对这次攻击,并且当前受感染的设备数量远远低于攻击高峰时期。不幸的是,已经受到CopyCat恶意软件感染的设备,至今仍然受到这款病毒的影响。
CopyCat是如何操作的?
CopyCat恶意软件感染全球1,400万部设备,对其中约800万部设备获取了root权限,这被研究人员称为是前所未有的攻击成功率。研究人员也表示此恶意软件为黑客创造了150万美元的广告收入。
CopyCat恶意软件采用最新的技术来衍生出多种形式的广告欺诈方式,与Check Point 之前发现的恶意软件Gooligan,DressCode和Skinner相似。一旦感染,CopyCat首先获取用户设备root权限,允许攻击者完全控制设备,并且基本上致使用户毫无办法。
CopyCat将代码注入Zygote应用程序启动功能,允许攻击者利用自己的ID来替换真正推荐人ID,从而获得许可安装欺诈性的应用程序来获得收入。另外,CopyCat使得Zygote发布欺诈性的广告而隐藏他们的真实来源,使得用户难以理解为何这些广告会在屏幕上弹出。CopyCat也使用单独的模块直接在设备上安装欺诈性应用程序。CopyCat恶意软件致使大规模的设备遭受感染,为背后的黑客聚敛巨额钱财。
CopyCat 的灾区分布图
CopyCat的祸害
Check Point研究人员调查了2016年4月到5月期间活跃的其中一台命令与控制服务器,纪录下超过1,400万部受感染设备,其中800万(54%)的设备已被获取root权限。有380万(26%)受感染设备显示欺诈广告,440万设备或30%受感染设备的信用凭证被窃取,用于在Google Play上安装应用程序。
攻击者获得的收益预计超出150万美元,大部分都是在短短两个月内赚到的。CopyCat制造的近1亿条恶意软件广告,总共产生利润多达12万美元。因为我们只能测量出多少设备感染上欺诈性安装套利,而不知道该类活动发生的次数,只能保守估计每台设备只执行一次该类活动。如此计算,攻击者从中赚到的利润预计超过66万美元。最大的收益来源是CopyCat骗取的490万个欺诈性应用程序的安装,从中产生多达73.5万美元的利润。
CopyCat肆虐最厉害的12个国家
如何防御CopyCat
如CopyCat这般复杂的恶意软件要求先进的防护手段,能够通过静态和动态的应用程序分析识别和封锁零日恶意软件的攻击。只有在一个设备上监测到恶意软件的操作环境,才能制定策略,成功封锁。用户和企业应把移动设备视为网络中的其它设备一样对待,并通过最佳的网络安全解决方案保护它们。
Check Point的用户受到SandBlast Mobile的保护,网络前端由Check Point Anti-Bot blade执行防御,可以有效抵御带有Trojan.AndroidOS.CopyCat签名特征的CopyCat恶意软件。
好文章,需要你的鼓励
这项来自苹果公司的研究揭示了视频大语言模型评测的两大关键问题:许多测试问题不看视频就能回答正确,且打乱视频帧顺序后模型表现几乎不变。研究提出VBenchComp框架,将视频问题分为四类:语言模型可回答型、语义型、时序型和其他类型,发现在主流评测中高达70%的问题实际上未测试真正的视频理解能力。通过重新评估现有模型,研究团队证明单一总分可能掩盖关键能力差距,并提出了更高效的评测方法,为未来视频AI评测提供了新方向。
这篇来自KAIST AI研究团队的论文提出了"差分信息分布"(DID)这一创新概念,为理解直接偏好优化(DPO)提供全新视角。研究证明,当偏好数据编码了从参考策略到目标策略所需的差分信息时,DPO中的对数比率奖励形式是唯一最优的。通过分析DID熵,研究解释了对数似然位移现象,并发现高熵DID有利于通用指令跟随,而低熵DID适合知识密集型问答。这一框架统一了对DPO目标、偏好数据结构和策略行为的理解,为语言模型对齐提供理论支持。
VidText是一个全新的视频文本理解基准,解决了现有评估体系的关键缺口。它涵盖多种现实场景和多语言内容,提出三层评估框架(视频级、片段级、实例级),并配对感知与推理任务。对18个先进多模态模型的测试显示,即使最佳表现的Gemini 1.5 Pro也仅达46.8%平均分,远低于人类水平。研究揭示输入分辨率、OCR能力等内在因素和辅助信息、思维链推理等外部因素对性能有显著影响,为未来视频文本理解研究提供了方向。
ZeroGUI是一项突破性研究,实现了零人工成本下的GUI代理自动化在线学习。由上海人工智能实验室和清华大学等机构联合开发,这一框架利用视觉-语言模型自动生成训练任务并提供奖励反馈,使AI助手能够自主学习操作各种图形界面。通过两阶段强化学习策略,ZeroGUI显著提升了代理性能,在OSWorld环境中使UI-TARS和Aguvis模型分别获得14%和63%的相对改进。该研究彻底消除了传统方法对昂贵人工标注的依赖,为GUI代理技术的大规模应用铺平了道路。