Badacze z firmy Check Point zidentyfikowali mobilne złośliwe oprogramowanie, które zainfekowało 14 milionów urządzeń z Androidem i zrootowało około 8 milionów z nich. Oprogramowanie to pozwoliło zarobić hakerom w ciągu dwóch miesięcy szacunkowo 1,5 miliona dolarów na fałszywych reklamach! Złośliwe oprogramowanie, określane przez badaczy mobilnych zagrożeń firmy Check Point mianem CopyCat, wykorzystuje nową technikę generowania i kradzieży przychodów z reklam.
Mimo że zainfekowani przez CopyCat użytkownicy pochodzą głównie z Azji Południowo-Wschodniej, wirus rozprzestrzenił się również na ponad 280 000 użytkowników Androida w Stanach Zjednoczonych.
CopyCat jest w pełni rozwiniętym złośliwym oprogramowaniem z ogromnymi możliwościami, w tym opcją rootowania urządzeń, co utrudnia jego usunięcie. CopyCat potrafi też wstrzykiwać kod do Zygote – demona odpowiedzialnego za uruchamianie aplikacji w systemie operacyjnym Android – co umożliwia wirusowi kontrolowanie wszystkich działań na urządzeniu. Badacze pierwszy raz zetknęli się z tym szkodliwym oprogramowaniem, kiedy zaatakowało ono urządzenia w firmie chronionej przez Check Point SandBlast Mobile. Check Point pozyskał informacje z serwera Command & Control złośliwego oprogramowania oraz przeprowadził pełną inżynierię wsteczną, której wyniki zostały przedstawione w raporcie technicznym.
W marcu 2017 roku firma Check Point poinformowała Google o kampanii CopyCat oraz o tym, jaki był sposób działania tego złośliwego oprogramowania. Według firmy Google udało się stłumić kampanię, a obecna liczba zainfekowanych urządzeń jest znacznie niższa niż w momencie jej szczytu. Niestety, dziś użytkownik zainfekowanego urządzenia może wciąż paść ofiarą dalszych ataków.
CopyCat to rozbudowana kampania złośliwego oprogramowania, która zaraziła 14 milionów urządzeń na całym świecie i zrootowała 8 milionów z nich, co specjaliści opisują jako bezprecedensową liczbę. Oceniają oni, że CopyCat wygenerował 1,5 miliona dolarów przychodu dla grupy odpowiadającej za kampanię. CopyCat wykorzystuje najnowocześniejszą technologię do przeprowadzania różnych form oszustw reklamowych, podobnych do poprzednich szkodliwych programów wykrytych przez Check Point, takich jak Gooligan, DressCode i Skinner. Po zainfekowaniu, CopyCat od razu rootuje urządzenie użytkownika, umożliwiając osobie atakującej pełną kontrolę nad urządzeniem i zasadniczo pozostawiając użytkownika bezbronnego wobec zagrożenia.
Następnie CopyCat wstrzykuje kod do procesu uruchamiającego aplikację Zygote, umożliwiając napastnikowi uzyskanie przychodów z instalowania niechcianych aplikacji, poprzez podmianę ID polecającego, swoim własnym. Ponadto CopyCat używa procesu Zygote do wyświetlania fałszywych reklam, ukrywając ich pochodzenie, przez co użytkownicy nie wiedzą, co powoduje wyświetlanie reklam na ich ekranach. CopyCat instaluje również nieuczciwe aplikacje bezpośrednio na urządzeniu, używając osobnego modułu. Za sprawą dużej liczby urządzeń zainfekowanych przez złośliwe oprogramowanie, działania te generują duże zyski twórcom CopyCat.
Adware – czy problem są tylko reklamy?
Adware koncentruje się na zyskach pochodzących z branży reklamowej. Zaawansowanie technologiczne CopyCata wskazuje jak dochodowe jest dla cyberprzestępców angażowanie się w kampanie reklamowe. Złośliwe oprogramowanie stwarza jednak istotne zagrożenie dla użytkowników i firm, w tym:
- Kradzież poufnych informacji – niektóre programy reklamowe, takie jak Gooligan, kradną od ofiar poufne informacje, które mogą być później sprzedawane osobom trzecim
- Rootowanie urządzeń lub jailbreaking – złośliwe oprogramowanie często rootuje urządzenie lub przeprowadza tzw. jailbreaking (rootowanie oraz jailbreaking to łamanie zabezpieczeń telefonu w celu uzyskania uprawnień systemowych na telefonach z systemem Android oraz iOS), pokonując w ten sposób wbudowane mechanizmy bezpieczeństwa Androida lub iOS, pozostawiając ofiary bezbronne nawet wobec najprostszych ataków hakerskich.
- Ewoluujące ataki – osoby stojące za kampaniami adware mogą kontynuować swoje ataki, rozprzestrzeniając różne rodzaje złośliwych programów na zrootowane/zjailbreakowane urządzenia, a także użyć ich do tworzenia ataków typu Denial of Service (ang. odmowa usługi).
- Dzielenie się kodem ze społecznością hakerów – zaawansowane możliwości opracowane przez twórców adware mogą zostać wykorzystane przez innych programistów zajmujących się złośliwym oprogramowaniem i wykorzystane do popełniania większych przestępstw, o czym świadczy chociażby wyciek Vault 7.