Шкідник CopyCat заразив більше 14 млн пристроїв і був створений китайською рекламною мережею
Дослідники компанії Check Point розповіли про виявлення Android-шкідливого CopyCat, який заразив уже понад 14 млн пристроїв по всьому світу, отримав root-доступ до 8 млн з них і за два місяці приніс своїм авторам близько $ 1,5 млн. Варто сказати, що ці дані були отримані завдяки вивченню лише одного керуючого сервера малварі. Так можуть існувати й інші C&C-сервери, дослідники не виключають, що реальні масштаби поширення CopyCat можуть виявитися навіть більшими.
Шкідник вдалося домогтися такого успіху шляхом використання відразу шести різних експлойтів, за рахунок яких і відбувається отримання root-доступу. У їх числі CVE-2014-4321, CVE-2014-4324, CVE-2013-6282 (VROOT), CVE-2015-3636 (PingPongRoot) і CVE-2014-3153 (Towelroot). Всі перераховані експлоїти працюють тільки на старих версіях Android (5.0 і нижче), проте екосистема Android влаштована таким чином, що нестачі в застарілих, давно не оновлювався пристроях зловмисники не відчувають.
Після використання експлойтів CopyCat впроваджується в батьківський процес Zygote, який виступає шаблоном для всіх Android-додатків в системі. Після цього малваре може вільно встановлювати додаткові додатки (підміняючи справжні referrer ID своїми) і показувати жертві рекламу, що і є основним джерелом доходів для операторів CopyCat. Варто відзначити, що CopyCat - не перша малваре, що вражає Zygote. Раніше схожу тактику використовували adware Loki, а також банківські трояни Xiny і Triada.
«CopyCat використовує Zygote для відображення шахрайської реклами, приховуючи її походження. Користувачеві складно зрозуміти, що саме викликає поява на екрані спливаючих вікон », - пишуть аналітики.
За даними фахівців Check Point, найчастіше CopyCat зустрічається в країнах Південної і Південно-східної Азії і поширюється через сторонні каталоги додатків і сайти. При цьому малваре налаштована таким чином, щоб уникати зараження китайських користувачів. Найімовірніше, самі автори CopyCat знаходяться в Китаї і не хочуть проблем з місцевою владою.
Хоча CopyCat активний вже давно і його пік припав на квітень-травень 2016 року, дослідники впевнені, що малваре не добралася до офіційного каталогу Google Play. До того ж, після виявлення CopyCat, в березні 2017 року, фахівці Check Point попередили про проблему інженерів Google, тому в даний час кількість заражених пристроїв «набагато нижче, ніж на піку шкідливої кампанії».
За два місяці роботи CopyCat приніс своїм творцям близько $ 1,5 млн. Левова частка цієї суми (понад $ 735 000) була отримана шляхом установки 4,9 млн сторонніх додатків, і ще близько $ 120 000 було отримано за рахунок показу 100 млн рекламних оголошень.
Хоча до кінця неясно, хто стоїть за створенням CopyCat, дослідники припускають, що шкідник був розроблений китайською рекламної мережею MobiSummer. Цю теорію підтверджує цілий ряд «доказів». Так, було відмічено, що CopyCat і MobiSummer використовують одні і ті ж сервери. Деякі частини коду малварі підписані MobiSummer. Шкідник і рекламна мережа використовують одні і ті ж віддалені сервіси. І, як вже було сказано вище, CopyCat не атакує користувачів з Китаю.
З докладним технічним звітом фахівців Check Point можна ознайомитися тут.