编者按
捷邦公司的研究人员发现了一种手机恶意软件已经影响了1400万的安卓设备。它根植于大约800万个安卓设备当中,并在两个月的时间内,为此次活动背后的黑客们赚取了大约150万美元的虚假广告收入。
这款被捷邦公司的手机威胁研究人员称为“CopyCat”的恶意软件,使用了一种新技术来产生并窃取广告收入。虽然受“CopyCat”影响的用户主要在东南亚,但它蔓延到了拥有超过280,000安卓用户的美国。
CopyCat是一款具有巨大功能的完全开发的恶意软件。
它包括生根装置,建立持续性,并将代码注入接合子——它是一个负责在安卓操作系统中启动应用程序的后台程序。它允许恶意软件控制设备上的任何活动。
研究人员首次遇到这个恶意软件时候,是它攻击了一家企业的设备,而这台设备是由捷邦公司的喷砂手机软件保护的。捷邦公司从恶意软件的命令和控制服务器中获取了信息,并在它的内部运作中执行一个全面的逆向工程,在一份综合技术报告中有详细的细节。
2016年4月至2016年5月之间,CopyCat的活动达到了顶峰。
研究人员认为,该恶意软件活动的扩散是通过流行的应用程序,对恶意软件进行重新包装并从第三方应用程序商店下载下来以及网络钓鱼诈骗。没有证据表明CopyCat是通过谷歌市场,谷歌的官方应用程序商店扩散出去的。
在2017年3月份,捷邦公司通知谷歌关于CopyCat的活动以及该恶意软件是如何运作的。据谷歌的说,它们能够平息该活动,并且当前受感染的设备数量远低于活动的高峰时期。
不幸的事,被CopyCat感染的设备可能即便在今天仍受该恶意软件的影响。
CopyCat做了什么呢?
CopyCat这次广泛的活动,影响了全球1400万的设备。
它生根于其中的800万个设备当中。研究人员声称这一成功率是史无前例的。捷邦的研究人员估计该恶意软件为这次活动背后的黑客组织赚取了150万美元的收益。
CopyCat使用最先进的技术,来进行各种形式的广告诈骗,类似于之前被捷邦公司所发现的像Gooligan、DressCode以及Skinner这样的恶意软件。感染后,CopyCat首先生根于用户的设备,允许攻击者获得对设备的完全控制,并且基本上使用户毫无防备。
然后,CopyCat将代码注入到Zygote应用程序的启动过程中,通过用真实的引用的ID来代替他们自己的ID,来欺骗用户安装应用程序从而获得信用额度,让攻击者获得收入。另外,CopyCat滥用接合子程序来展示虚假广告,在隐藏他们起源的同时,使用户很难理解广告在他们的屏幕上弹出的原因。CopyCat也利用一个单独的模块,将欺诈性的应用程序直接安装到设备上。这些活动为CopyCat的缔造者产生了大量的收益,鉴于大量的设备被该恶意软件所传染。
CopyCat背后是谁呢?
出人意料地,一些广告软件家族是由与广告行业相关的公司所开发的。
例如由Yingmob公司开发的HummingBad和YiSpecter和近来的朱迪恶意软件的例子是由Kiniwini所开发的。目前还不清楚谁是CopyCat攻击事件的幕后主使者。然而有一些攻击是与MobiSummer相关联的。MobiSummer是一个位于中国的广告平台。值得注意的是,尽管这些联系存在,但是这并不一定意味着恶意软件是由那家公司创造的,有可能是该恶意软件背后的犯罪分子在公司不知情的情况下,利用了MobiSummer的代码和基础设施。
公司和恶意软件之间的第一个连接是服务器,它操作了恶意软件和MobiSummer的一些活动。另外,一些恶意软件代码是由MobiSummer自己签署的,并且该恶意软件使用的一些远程服务是由这家公司创建的。恶意软件也尽量避免针对中国设备的攻击,暗示该恶意软件的开发者是中国人,他们想避开当地执法机构的调查,这是恶意软件世界中的一种常见策略。
影响是什么呢?
捷邦的研究人员调查了其中一个命令和控制服务器,它在2016年四月至五月之间被激活并且记录了超过1400万个被CopyCat感染的设备。该恶意软件根植于它们之中的800万个设备上。虚假广告在380万受感染设备上显示(26%),与此同时440万(或30%)受感染的设备被用来窃取在谷歌市场上安装应用程序的信用额度。命令和控制服务器还存储了有关受感染设备的信息,包括品牌、模型、操作系统版本和国家。捷邦公司的研究人员认为存在额外的命令和控制服务器运行CopyCat,表明受感染设备的数量可能更多。
保护你的企业&保护你个人的设备
由攻击者产生的收入估计是超过150万美元的,其中大部分是在两个月的时间内赚到的。
通过恶意软件显示的近1亿个广告所产生的价值约为12万美元。因此我们不仅仅能够估量声称对于欺诈性安装有信用额度的设备有多少,还可以估算这样的活动发生了多少次。我们保守地假设每个设备只做过一次。即便如此,据估计这些行动为犯罪者产生的收入超过了66万美元。最大的收入来源是由CopyCat发起的490万个欺诈性应用程序的安装,所产生的超过735,000美元。
恶意软件是如何操作的呢?
一旦装机,恶意软件等待着设备被重新启动,以便在安装的应用程序和恶意活动之间并没有连接。
一旦设备重新启动,CopyCat会从S3桶(亚马逊公司提供的一个网络存储服务)中下载一个“升级”包。这个升级包,包含6个常见的漏洞,而恶意软件试图把这些漏洞种在该设备上。如果成功,CopyCat安装另一个组件到设备的系统目录。它是一个要求生根许可的活动并建立持久性,使它很难被删除。
然后CopyCat将代码注入到Zygote进程中,在这个过程当中,所有的安卓应用程序被启动。由于在安卓设备中的所有应用程序都是从Zygote启动的,直接向设备注入代码,让恶意软件渗透到所有正在运行的应用程序的活动中。它是第一个被发现使用这个技术的广告软件,该技术最初是由金融恶意软件Triada引入的。
在CopyCat破坏了接合子进程之后,它注入系统服务器进程,并覆盖了所有的安卓服务,例如电话管理者和程序包管理者,还有活动管理者等等。然后,CopyCat在系统服务器上注册几个项目。恶意软件使用两个策略来盗取广告收入。展示欺骗性的广告并从谷歌市场盗取中安装应用程序引用的ID号码。
CopyCat在系统服务器进程中接入“开始活动锁定存根”并监督它以检测谷歌市场的启动过程。一旦启动了这个进程,CopyCat就检索用户在谷歌市场上正查看的应用程序包的名字,并把它发送到它的命令和控制服务器。而服务器发回一个适合程序包名字的引用ID。这个引用ID号属于该恶意软件的缔造者并且它将稍后用于确保安装的收入归他们所有。CopyCat封锁了所有安装引用的意图,并使用它自己的引用ID替换了它们,而它是先前从命令和控制服务器接收到的。
CopyCat怎么可能生根于这么多的设备呢?
CopyCat成功地生根于其感染的超过54%的设备中,即使是复杂的恶意软件,这也是很不寻常的。
CopyCat在其操作中使用了一些漏洞:它们是CVE-2014-4321、CVE-2014-4324、CVE-2013-6282 (VROOT)、CVE-2015-3636 (PingPongRoot)以及 CVE-2014-3153 (Towelroot)。所有的这些漏洞与安卓系统版本5和更早的版本相关,它们都被广泛地使用,且非常古老,这是两年多前所发现的。
即便针对这些漏洞的补丁被发布,CopyCat成功地利用它们生根于800万设备。这些旧的漏洞仍然是有效,因为用户经常修补他们的设备或完全不修补。继QuadRooter漏洞之后,我们了解到64%的安卓用户有旧的安全补丁,使他们暴露在已被修补过的攻击策略中。
如何维持防卫状态
尖端的恶意软件例如CopyCat要求高级的保护,能够通过使用静态和动态的应用程序分析来识别并封锁“零日恶意软件”。
只有通过在设备上审查恶意软件的运作背景,才能成功地创造一个阻挡它的策略。用户和企业应该像对待它们网络的其他部分一样对待他们的移动设备,并用最好的网络安全解决方案来保护他们。
-END-
