Deși majoritatea victimelor sunt din Asia, peste 280.000 de dispozitive Android din SUA au fost lovite de atacul masiv. Google a urmărit malware-ul pentru ultimii doi ani și a actualizat Play Protect pentru a bloca CopyCat, însă milioane de victime sunt lovite prin descărcarea de terțe aplicații și atacuri phishing. Nu există nicio dovadă că CopyCat a fost distribuit pe Google Play, potrivit CheckPoint. „Play Protect oferă siguranță utilizatorilor și orice aplicații ar fi putut fi infectate cu CopyCat, nu au fost distribuite prin Play”, au declarat oficialii Google.

CopyCat pretinde că este o aplicație populară. Odată descărcat, acesta colectează date despre dispozitivul infectat și descarcă rootkit-uri pentru a ajuta la root-ul telefonului, în principal deconectandu-l de la sistemul sau de securitate. De aici încolo, CopyCat poate descărca aplicații false și deturna Zygote-ul dispozitivului – lansatorul fiecărei aplicații din telefon. Odată ce controlează Zygote, cunoaște fiecare aplicație pe care ați descărcat-o, precum și fiecare aplicație pe care ați deschis-o. CopyCat poate înlocui Refferer ID-ul aplicațiilor dvs. cu propriul ID, așa încât fiecare anunț care apare în aplicații va trimite venituri hackerilor, iar nu creatorilor aplicațiilor. Din când în când, CopyCat va afișa propriile anunțuri.

Au existat aproape 1,4 milioane de aplicații false instalate pe dispozitivele afectate, afișând până la 100 milioane de anunutri. În doar două luni, CopyCat a ajutat hackerii să obțină peste 1,5 milioane de dolari, a estimat CheckPoint. Malware-ul verifică, de asemenea, dacă dispozitivul infectat este în China. Victimele din China sunt cruțate de la atacul cibernetic, iar cercetătorii CheckPoint cred că acest lucru se datorează faptului că infractorii cibernetici sunt chinezi și încearcă să evite orice anchetă a poliției. Deși nu există dovezi directe în privința persoanei care se află în spatele atacului, au existat câteva legături între CopyCat și o rețeaua chineză de anunțuri MobiSummer. Malware-ul și compania de publicitate operează pe același server, iar câteva linii din codul virusului sunt semnate de către MobiSummer. Cele două folosesc, de asemenea, aceleași servicii la distanță. Majoritatea victimelor sunt din India, Pakistan, Bangladesh, Indonezia și Myanmar. Peste 381.000 de dispozitive din Canada au fost infectate cu CopyCat. Malware-ul mobil s-a răspândit prin intermediul a cinci exploit-uri care au lovit dispozitivele rulând pe Android 5.0 și versiunile anterioare și a fost descoperit și remediat în urmă cu peste doi ani. Utilizatorii Android cu dispozitive mai vechi sunt încă vulnerabili la atac, dacă descarcă aplicații din terțe magazine de aplicații.

Cei de la Google au anunțat că și dispozitivele mai vechi sunt protejate de CopyCat prin folosirea Play Protect, care este actualizat în mod regulat, deoarece tulpinile malware, cum ar fi CopyCat, continuă să crească.

Sursa: http://www.smartnews.ro/