В прошедший вторник (4 июля) исследователи из Check Point рассказали, что штамм вредоносного ПО, получивший название CopyCat, благодаря рекламному мошенничеству принес (с апреля по май 2016) своим авторам 1,5 миллиона долларов.

Группа мобильных исследований Check Point, обнаружившая вредоносное ПО в марте этого года, отмечает, что несмотря на то, что зловредом заражены в основном Androd-устройства в Юго-Восточной Азии, CopyCat затронул и другие страны. Так, под удар попали 280 000 пользователей США. По данным исследователей, на долю Азии приходится 55%, а на втором месте по зараженным гаджетам находится Африка — 18%.

Вредоносная программа распространялась не через Play Market, а с помощью других магазинов «внутри» популярных приложений. После установки программы зловред никак не проявлял себя, дожидаясь перезапуска устройства, а после рестарта гаджета загружал серию эксплойтов из облачного хранилища Amazon S3 и пытался запустить их. «В случае успеха CopyCat устанавливает другой компонент в системный каталог устройства и «прописывается» в системе на постоянной основе, что затрудняет его удаление», — сообщили исследователи в четверг.

Вредоносная программа «берет на прицел» процесс Zygote — родительский процесс для приложений в Androdi, используя ту же технику, что и троянец Triada, обнаруженный «Лабораторией Касперского» (а позже и Check Point) в 2016 году. «Получив права суперпользователя, Triada стандартными средствами отладки Linux внедряет свою библиотеку в процессы мобильных браузеров», — говорил аналитик «Лаборатории Касперского» Антон Кивва.

Благодаря CopyCat злоумышленники получили возможность подмены данных об установке приложений из магазина Google: рекламные платформы получают вознаграждение за приложения, установленные благодаря рекламным объявлениям; CopyCat же перехватывает данные об установке софта, подменяет ID реферера, позволяя таким образом получить вознаграждение мошенникам. Кроме этого, вредоносная программа может отображать поддельные объявления и устанавливать фейковые приложения — два дополнительных способа заработка для злоумышленника.

Изучая один из C&С-серверов зловерда, исследователи смогли получить более полную информацию о том, что злоумышленники делают с устройствами жертв. Специалист по мобильным угрозам Check Point Дэниэл Падон сообщил, что, исходя из данных, которые собирались больше года, в период с апреля по май 3,8 млн. пользователей получали поддельные рекламные сообщения, а с 4.4 млн. злоумышленники воровали данные об установке приложений.

По данным Check Point, возраст основной части эксплойтов, используемых CopyCat, довольно велик: четыре из них известны с 2014 г., а еще один, — Towelroot (CVE-2014-3153), стоявший за волной взломов в прошлом году, нацелен на старые версии Android.

Представитель Google сказал, что компания знакома с CopyCat. По его словам, это вредоносное ПО является вариантом большого семейства вредоносных программ, которое Google отслеживает с 2015 года: «Каждый раз, когда появляется новый вариант, мы обновляем системы обнаружения, чтобы защитить наших пользователей. Play Protect защищает пользователей от приложений этого семейства, а софт, который мог быть заражен CopyCat, не распространяется в Play Store».

Категории: Вредоносные программы