Check Point解析CopyCat恶意软件 如何感染全球Android设备

Check Point以色列捷邦安全软件科技有限公司的移动威胁研究人员最近发现一种针对移动设备的恶意软件，并称之为CopyCat。它目前已经感染了1,400万部安卓设备，获取了其中800万部的root权限，在短短两个月内，黑客通过使用CopyCat 已经赚取了约150万美元的假冒广告收入。

Check Point 移动威胁研究人员指出，CopyCat采用一种新的技术来制造和窃取广告收入。CopyCat 主要感染位于东南亚的用户，但它也传播至美国，感染了超过28万名安卓设备用户。

CopyCat是一款完全开发的恶意软件，具有强大的功能，包括对设备获取root权限，能持续进行攻击，以及将代码注入Zygote（Zygote负责在安卓操作系统中启动应用程序），因此它可以控制设备上的任何活动。

CopyCat 是在意图攻击一家受Check Point SandBlast Mobile保护的企业时被发现，Check Point研究人员从这款恶意软件的命令与控制服务器中检索到信息，并且对其内部工作方式进行了完整的逆向操作工程，这些资料在其全面的技术报告中有详细介绍。

CopyCat攻击在2016年4月和5月达到顶峰。研究人员相信此次大型攻击是通过把恶意软件与流行应用程序结合重新包装，然后通过第三方应用商店进行散播，以及采用钓鱼欺诈手段。目前没有证据说明CopyCat是通过Google的官方应用商店Google Play进行发布。

2017年3月，Check Point向Google通报了CopyCat恶意软件以及其操作方法。据Google介绍，他们可以应对这次攻击，并且当前受感染的设备数量远远低于攻击高峰时期。不幸的是，已经受到CopyCat恶意软件感染的设备，至今仍然受到这款病毒的影响。

CopyCat是如何操作的？

CopyCat恶意软件感染全球1,400万部设备，对其中约800万部设备获取了root权限，这被研究人员称为是前所未有的攻击成功率。研究人员也表示此恶意软件为黑客创造了150万美元的广告收入。

CopyCat恶意软件采用最新的技术来衍生出多种形式的广告欺诈方式，与Check Point 之前发现的恶意软件Gooligan,DressCode和Skinner相似。一旦感染，CopyCat首先获取用户设备root权限，允许攻击者完全控制设备，并且基本上致使用户毫无办法。

CopyCat将代码注入Zygote应用程序启动功能，允许攻击者利用自己的ID来替换真正推荐人ID，从而获得许可安装欺诈性的应用程序来获得收入。另外，CopyCat使得Zygote发布欺诈性的广告而隐藏他们的真实来源，使得用户难以理解为何这些广告会在屏幕上弹出。CopyCat也使用单独的模块直接在设备上安装欺诈性应用程序。CopyCat恶意软件致使大规模的设备遭受感染，为背后的黑客聚敛巨额钱财。

CopyCat 的灾区分布图

CopyCat的祸害

Check Point研究人员调查了2016年4月到5月期间活跃的其中一台命令与控制服务器，纪录下超过1,400万部受感染设备，其中800万（54%）的设备已被获取root权限。有380万（26%）受感染设备显示欺诈广告，440万设备或30%受感染设备的信用凭证被窃取，用于在Google Play上安装应用程序。

攻击者获得的收益预计超出150万美元，大部分都是在短短两个月内赚到的。CopyCat制造的近1亿条恶意软件广告，总共产生利润多达12万美元。因为我们只能测量出多少设备感染上欺诈性安装套利，而不知道该类活动发生的次数，只能保守估计每台设备只执行一次该类活动。如此计算，攻击者从中赚到的利润预计超过66万美元。最大的收益来源是CopyCat骗取的490万个欺诈性应用程序的安装，从中产生多达73.5万美元的利润。

CopyCat肆虐最厉害的12个国家

如何防御CopyCat

如CopyCat这般复杂的恶意软件要求先进的防护手段，能够通过静态和动态的应用程序分析识别和封锁零日恶意软件的攻击。只有在一个设备上监测到恶意软件的操作环境，才能制定策略，成功封锁。用户和企业应把移动设备视为网络中的其它设备一样对待，并通过最佳的网络安全解决方案保护它们。

Check Point的用户受到SandBlast Mobile的保护，网络前端由Check Point Anti-Bot blade执行防御，可以有效抵御带有Trojan.AndroidOS.CopyCat签名特征的CopyCat恶意软件。