Android上又双叒冒出新的恶意软件：ROOT近800万台设备、狂发广告骗推广费

Check Point刚刚公布一个名为CopyCat的恶意软件，感染了超过1400万台Android设备，并在短短两个月内借此狂揽150万美金的欺诈广告收入。

为保证长久的控制权，CopyCat会自动ROOT感染的Android设备，将恶意代码注入Android启动时的守护进程Zygote，来获得对设备的完整访问权限。

ROOT近800万台Android设备

据Check Point研究人员表示，CopyCat感染了超过1400万台Android设备，其中近800万台被ROOT过，380万台被投放过广告，440万台被偷偷安装Play商店的应用。

CopyCat的绝大多数受害者是南亚和东南亚用户，印度受影响最为严重。美国比较轻微，也有28万台设备受到感染。

目前无法确定CopyCat是否在Play商店发布过，不过这个关系不大，因为据Check Point调查，受害用户主要是在第三方网站下载和受到钓鱼攻击感染的。

CopyCat怎么ROOT用户的Android设备呢？其实有现成工具，就是网上流传的各种ROOT神器，比如CVE-2013-6282 (VROOT)、CVE-2015-3636 (PingPongRoot)、CVE-2014-3153 (Towelroot)，这些漏洞对5.0以及更早版本的Android设备基本可以通杀。

从CopyCat的感染数据来看，使用老版本、未打补丁Android的用户群仍然非常庞大，他们可能也不太会更新系统了。

CopyCat如何“偷”钱？

在第三方应用商店中，攻击者把CopyCat伪装成时下流行的Android应用。用户一旦下载，恶意软件便开始收集这台设备的信息，并下载工具包来ROOT它。

ROOT后，CopyCat继续移除设备安全防护，将恶意代码注入Android启动时的守护进程Zygote，然后就能“偷”钱了——私底下安装应用和展示广告来获取推广收入。

由于CopyCat通过Zygote进程来展示广告，用户通常难以定位是哪个应用造成的。

CopyCat还支持静默安装推广应用，它有个单独模块专门做这个。鉴于它感染设备量极大，这些推广活动可以带来巨大的利润。

在短短两个月里，CopyCat帮攻击者赚取了超过150万美金的收入。这里边大部分利润来自感染设备上的近490万次静默安装和过亿次广告展示。

借助中国广告公司进行分发

目前尚不确定CopyCat的幕后攻击组织是谁，但Check Point找出一个可能的关联方——中国广告服务公司MobiSummer（广州市沃钛移动科技有限公司）。

MobiSummer和CopyCat之间有多个关联：

1、MobiSummer服务器上发现存在CopyCat

2、CopyCat里边有MobiSummer签名的代码

3、CopyCat和MobiSummer使用相同的远程服务

4、尽管一半以上的受害者都在亚洲，但CopyCat没有针对中国用户

虽然有以上证据，但并不代表CopyCat就是MobiSummer干的，也可能是幕后攻击者使用/滥用了MobiSummer的代码和服务。

最后

旧款Android容易遭受CopyCat攻击，特别是在第三方商店或陌生网站下载应用时。

2017年3月，Check Point向Google通报了CopyCat的恶意行为，Google已经更新Play保护服务，可以识别并阻止CopyCat。

大家的Android设备，只需保持Play服务更新，就能免受CopyCat侵扰。