بدافزار اندرویدی CopyCat با قابلیت «روت کردن» 14 میلیون دستگاه را آلوده کرد

هم رسان: نسخه جدیدی از بدافزار در حال حاضر بیش از 14 میلیون دستگاه اندرویدی را در سرتاسر دنیا آلوده کرده که عوامل این بدافزار تنها در عرض دو ماه توانسته اند به درآمد تقریباً 1.5 دلاری دست یابند.

به گزارش پایگاه خبری هم رسان به نقل از هکرنیوز، این بدافزار که CopyCat نامیده شده است، قابلیت هایی برای روت کردن دستگاه های اندرویدی آلوده، ماندگاری در آنها و تزریق کد به Zygote دارد، Zygote عامل مخرب و مسئول راه اندازی اپلیکیشن ها در اندروید است که امکان دسترس هکرها را به کل دستگاه فراهم می آورد.

از بین بیش از 14 میلیون دستگاه آلوده شده 8 میلیون مورد روت شده است
طبق گزارش محققان امنیتی Check Point که این بدافزار را معرفی کرده اند، بدافزار CopyCat بیش از 14 میلیون دستگاه را آلوده کرده است که تقریباً 8 میلیون دستگاه از آنها روت شده است، 3.8 میلیون از آنها دارای تبلیغات مزاحم بوده و 4.4 میلیون نیز برای سرقت اعتبارات مربوط به نصب برنامه از گوگل پلی استفاده می کند.
اکثریت قربانیان بدافزار CopyCat در آسیای جنوبی و جنوب شرقی و از آن جمله درهندوستان ساکن هستند، بیش از 280000 دستگاه اندرویدی در ایالات متحده آمریکا نیز به این بدافزار آلوده شده اند.
اگرچه هیچ شاهدی وجود ندارد که بدافزار CopyCat در گوگل پلی منتشر شده است، اما محققان Check Point معتقدند که میلیون ها قربانی از طریق دانلود اپلیکیشن های شرکت های متفرقه و حملات فیشینگ آلوده شده اند.
بدافزار CopyCat نیز مانند Gooligan از پیشرفته ترین فناوری ها برای انتقال انواع مختلف تقلب های تبلیغاتی استفاده می کند.
CopyCat از اکسپلویت های متعددی از جمله CVE-2013-6282 (VROOT)، CVE-2015-3636 (PingPongRoot)، و CVE-2014-3153 (Towelroot) استفاده می کند تا به دستگاه های اجرا کننده اندروید 5.0 و قبل از آن که به طور گسترده و برای مدت طولانی کاربرد دارند و همچنین سیستم عامل های عرضه شده در 2 سال اخیر، آسیب وارد کند.
موفقیت این کمپین نشان می دهد که میلیون ها کاربر اندروید همچنان از دستگاه های قدیمی، غیر پشتیبانی شده و غیر ایمن استفاده می کنند.

نحوه آلوده سازی دستگاه های اندرویدی با CopyCat
CopyCat خود را به عنوان یک اپلیکیشن اندرویدی محبوب که کاربران از فروشگاه های متفرقه دانلود می کنند، تغییر چهره می دهد. زمانی که دانلود کامل می شود، بدافزار شروع به جمع آوری اطلاعات درباره دستگاه آلوده می کند و روت کیت هایی برای کمک به روت کردن گوشی هوشمند قربانی دانلود می کند.
بدافزار CopyCat پس از روت کردن دستگاه اندرویدی، اقدامات امنیتی را از دستگاه حذف کرده و کد را به اپلیکیشن Zygote تزریق می کند، این اپلیکیشن فرایند نصب اپلیکیشن ها را شروع کرده و تبلیغات را نمایش می دهد و کسب در آمد می کند.
محققان Check Point می گویند: «CopyCat در حالیکه منبع خود را مخفی نگه می دارند از فرایند Zygote برای نمایش تبلیغات جعلی سوء استفاده می کنند، که این کار باعث می شود شناسایی دلیل نمایش تبلیغات جعلی برای کاربران مشکل شود. همچنین CopyCat با استفاده از یک ماژول مستقل، اپلیکیشن های متقلب را به طور مستقیم روی دستگاه نصب می کند. این اقدامات با توجه به تعداد زیاد دستگاه های آلوده به این بدافزار سودهای کلانی را برای عاملان سازنده CopyCat به همراه دارد.»
تنها در عرض دو ماه، نرم افزار مخرب CopyCat به هکرها کمک کرد که درآمد بیش از 1.5 میلیون دلار داشته باشند. بخش اعظم این درآمد (بیش از 735،000 دلار) از تقریباً 4.9 میلیون نصب های جعلی بر روی دستگاه های آلوده به دست آمد که در این مدت بیش از 100 میلیون آگهی در این دستگاه ها نمایش داده شد.
اکثریت این قربانیان ساکنین کشورهای هند، پاکستان، بنگلادش، اندونزی و میانمار بودند، با این حال بیش از 381 هزار دستگاه در کانادا و 280 هزار دستگاه در ایالات متحده آمریکا به این بدافزار آلوده شدند.

بدافزار CopyCat با استفاده از شبکه تبلیغات چین منتشر شده است

با وجود این که هیچ مدرک و شاهدی در مورد فرد مسئول انتشار این بدافزار وجود ندارد، اما محققان موسسه Check Point مواردی یافته اند که نشان می دهند ممکن است هکرها از شبکه تبلیغات چین با نام ‘MobiSummer’ برای توزیع این بدافزار استفاده کرده باشند.
· بد افزار CopyCat و MobiSummer روی سرور مشابهی عمل می کنند
· چندین خط از کد بدافزار CopyCat توسط MobiSummer امضاء شده است.
· بدافزار CopyCat و MobiSummer از سرویس های راه دور مشابهی استفاده می کنند
· علی رغم اینکه بیش از نیمی از قربانیان را ساکنان آسیا تشکیل می دهند، اما کاربران چینی از این بدافزار در امان مانده اند.
محققان Check Point می گویند: «باید اشاره کنیم که شاید این ارتباطات وجود داشته باشد اما این مسئله لزوماً به معنای ایجاد این بدافزار توسط این شرکت نیست، و این احتمال وجود دارد که عوامل پشت پرده این بدافزار بدون اطلاع شرکت از کد و زیرساخت MobiSummer’s استفاده کرده باشند.»
کاربران اندرویدی در دستگاه های قدیمی تنها در صورتی نسبت به حمله CopyCat آسیب پذیر خواهند بود که اپلیکیشن هایی را از فروشگاه های اپلیکیشنی متفرقه دانلود کنند.
در اسفند ماه سال گذشته محققان موسسه Check Point درباره کمپین CopyCat به گوگل هشدار دادند و این غول فناوری برای مسدود کردن این بدافزار Play Protect را به روزرسانی کرد.
بنابراین کاربران اندرویدی حتی در گوشی های قدیمی تر نیز از طریق Play Protect در امان هستند، این سرویس از زمان ادامه رشد بدافزارهایی نظیر CopyCat به صورت منظم به روزرسانی می شود.

دیجیاتو آپارات...