Copycat Android Malware: 14 millions de périphériques infectées
Une souche de malware récemment découverte a déjà infecté plus de 14 millions d'appareils Android dans le monde entier, ce qui a permis à ses opérateurs d'investir environ 1,5 million de dollars en faux revenus publicitaires en seulement deux mois. Doublé CopyCat, le logiciel malveillant possède des fonctionnalités pour racine les périphériques infectés, établit la persistance et injecte un code malveillant dans Zygote - un démon responsable du lancement d'applications sur Android, offrant aux pirates un accès complet aux périphériques. Plus de 14 millions de dispositifs infectés; 8 millions d'entre eux sont enracinés Selon les chercheurs en sécurité de Check Point qui ont découvert cette souche de malware, les logiciels malveillants de CopyCat ont infecté 14 millions de périphériques, ont enraciné près de 8 millions d'entre eux, 3,8 millions d'appareils ont diffusé des publicités et 4,4 millions d'entre eux ont été utilisés pour voler des crédits pour l'installation d'applications sur Jeu de Google.
Bien que la majorité des victimes touchées par le logiciel malveillant CopyCat réside dans le sud et le sud-est asiatique, l'Inde étant le pays le plus touché, plus de 280 000 appareils Android aux États-Unis ont également été infectés. Bien qu'il n'y ait aucune preuve que le logiciel malveillant CopyCat a été distribué sur Google Play, les chercheurs de Check Point pensent que des millions de victimes ont été infectées par des téléchargements d'applications tierces et des attaques de phishing. Comme Gooligan, le logiciel malveillant CopyCat utilise également "la technologie de pointe" pour effectuer diverses formes de fraude publicitaire. CopyCat utilise plusieurs exploits, y compris CVE-2013-6282 (VROOT), CVE-2015-3636 (PingPongRoot) et CVE-2014-3153 (Towelroot) pour accéder aux périphériques exécutant Android 5.0 et versions antérieures, tous largement utilisés et très anciens , Avec le plus récent inconnu il y a 2 ans. Le succès de la campagne indique clairement que des millions d'utilisateurs d'Android comptent toujours sur des périphériques anciens, non patchés et non pris en charge. Voici comment CopyCat infecte les appareils Android CopyCat se déguise en tant qu'application Android populaire que les utilisateurs téléchargent à partir de magasins tiers. Une fois téléchargé, le logiciel malveillant commence à collecter des données sur le périphérique infecté et télécharge les rootkits pour aider à racter le smartphone de la victime. Après l'enracinement de l'appareil Android, le logiciel malveillant CopyCat supprime les défenses de sécurité du périphérique et injecte du code dans le processus de lancement de l'application Zygote pour installer frauduleusement des applications et afficher des annonces et générer des revenus. "CopyCat abuse du processus Zygote pour afficher des annonces frauduleuses tout en cachant leur origine, ce qui rend difficile pour les utilisateurs de comprendre ce qui provoque l'apparition de publicités sur leurs écrans", disent les chercheurs de Check Point. "CopyCat installe également des applications frauduleuses directement sur le périphérique, en utilisant un module distinct. Ces activités génèrent de gros bénéfices pour les créateurs de CopyCat, compte tenu d'un grand nombre d'appareils infectés par les logiciels malveillants".
En seulement deux mois, les logiciels malveillants CopyCat ont aidé les pirates à gagner plus de 1,5 million de dollars de chiffre d'affaires. La majorité des bénéfices (plus de 735 000 $) proviennent de près de 4,9 millions de fausses installations sur des dispositifs infectés, qui affiche jusqu'à 100 millions d'annonces.
La majorité des victimes sont situées en Inde, au Pakistan, au Bangladesh, en Indonésie et au Myanmar, mais plus de 381 000 appareils au Canada et plus de 280 000 appareils aux États-Unis sont infectés par CopyCat. CopyCat Malware Spreads Using Chinese Advertising Network Bien qu'il n'y ait aucune preuve directe sur les personnes derrière la campagne de programmes malveillants CopyCat, les chercheurs de Check Point ont trouvé des connexions ci-dessous indiquant que les pirates informatiques pourraient avoir utilisé le réseau de publicité chinois «MobiSummer» pour la distribution du logiciel malveillant. Les logiciels malveillants CopyCat et MobiSummer opèrent sur le même serveur Plusieurs lignes du code CopyCat sont signées par MobiSummer CopyCat et MobiSummer utilisent les mêmes services distants CopyCat n'a pas ciblé les utilisateurs chinois bien que plus de la moitié des victimes résidant en Asie "Il est important de noter que, bien que ces connexions existent, cela ne signifie pas nécessairement que les logiciels malveillants ont été créés par l'entreprise, et il est possible que les auteurs de ce projet utilisent le code et l'infrastructure de MobiSummer sans la connaissance de l'entreprise", disent les chercheurs de Check Point. Les utilisateurs d'Android sur des périphériques plus anciens sont toujours vulnérables à l'attaque CopyCat, mais uniquement s'ils téléchargent des applications à partir de magasins d'applications tierces. En mars 2017, les chercheurs de Check Point ont informé Google de la campagne CopyCat, et le géant technologique a déjà mis à jour Play Protect pour bloquer les logiciels malveillants. Ainsi, les utilisateurs d'Android, même sur des périphériques plus anciens, sont protégés via Play Protect, qui est mis à jour régulièrement à mesure que les contraintes de logiciels malveillants telles que CopyCat continuent de croître.