14 triệu thiết bị Android đời cũ điêu đứng vì mã độc CopyCat

WhiteHat News #ID:2018

WhiteHat Support
20/03/2017
129
443 bài viết
14 triệu thiết bị Android đời cũ điêu đứng vì mã độc CopyCat
(VnReview) Có khoảng 14 triệu thiết bị Android đã nhiễm một phần mềm độc hại mới có tên gọi CopyCat.

Theo Cnet, một chủng phần mềm độc hại mới được gọi là Copycat đã lây nhiễm hơn 14 triệu thiết bị Android trên toàn thế giới, thông qua việc root điện thoại và tải các ứng dụng độc hại để thu tiền quảng cáo.
CopyCat_1.jpg
Trong khi phần lớn các nạn nhân ở châu Á, đã có hơn 280.000 thiết bị Android tại Mỹ bị ảnh hưởng bởi một cuộc tấn công quy mô lớn. Google đã theo dõi các phần mềm độc hại trong 2 năm trở lại đây và đã cập nhật Play Protect để khóa CopyCat, nhưng hàng triệu nạn nhân vẫn có thể bị nhiễm mã độc này do tải ứng dụng của bên thứ 3 hoặc bị ảnh hưởng từ các cuộc tấn công.

Không có bằng chứng cho thấy CopyCat được phát hành trên Google Play, theo Check Point.

Đúng như tên gọi của nó, CopyCat sử dụng vỏ bọc là một ứng dụng của bên thứ 3, chẳng hạn như Simsimi (ứng dụng này có đến 50 triệu lượt tải về trên Google Play). Sau khi tải về, nó thu thập dữ liệu về các thiết bị và tải rootkit để root điện thoại và cắt đứt cả hệ thống an ninh của thiết bị.
CopyCat_2.jpg

Từ đó, CopyCat có thể tải các ứng dụng giả mạo khác, ví dụ như Zygote – một launcher cho điện thoại của bạn. Một khi nó có thể kiểm soát Zygote, nó sẽ biết mỗi ứng dụng mới mà bạn đã tải về, cũng như tất cả các ứng dụng mà bạn đang mở.

CopyCat có khả năng thay thế Referrer ID trên các ứng dụng của bạn. Như vậy, mỗi quảng cáo bật lên trên các ứng dụng đó sẽ gửi doanh thu về cho hacker thay vì người sáng tạo ra ứng dụng.

Đã có gần 4,9 triệu ứng dụng giả mạo được cài đặt trên các thiết bị bị nhiễm, hiển thị lên đến 100 triệu quảng cáo. Chỉ trong vòng hai tháng, CopyCat đã giúp hacker thu về 1,5 triệu USD.

Qua kiểm tra, CheckPoint thấy rằng người dùng Trung Quốc không bị nhiễm CopyCat. Vì vậy, họ suy đoán các hacker tại ra mã độc có thể đến từ đất nước đông dân nhất thế giới.

Vẫn chưa có chứng cứ cụ thể nào để khẳng định ai đứng sau mã độc này nhưng nó có nhiều liên kết với mạng quảng cáo MobiSummer của Trung Quốc. Các phần mềm độc hại và các công ty quảng cáo hoạt động trên cùng một máy chủ và các dòng mã trong virus xác nhận được gửi bởi MobiSummer.

Đa số các nạn nhân ở Ấn Độ, Pakistan, Bangladesh, Indonesia và Myanmar. Hơn 381.000 thiết bị ở Canada cũng bị nhiễm CopyCat.

Sự lây lan phần mềm độc hại trên các thiết bị chạy Android 5.0 trở về trước đã được phát hiện vá vá lỗi. Tuy nhiên, người dùng các thiết bị Android cũ vẫn dễ bị nhiễm phần mềm độc hại nếu họ thường xuyên tải ứng dụng từ chợ ứng dụng bên thứ 3.

CheckPoint cho biết: "Những lỗ hổng cũ vẫn còn nguy hiểm bởi vì người dùng vá các thiết bị của họ không thường xuyên, thậm chí họ không làm gì cả".

Google cho biết các thiết bị cũ có thể được bảo vệ khỏi CopyCat bằng cách sử dụng Play Protect và cập nhật thường xuyên.

Cao điểm của vụ tấn công diễn ra trong khoảng tháng 4-5/2016 và sau đó chậm lại do Google đưa CopyCat vào blacklist của Play Protect. Tuy nhiên, CheckPoint cho biết vẫn còn nhiều thiết bị nhiễm CopyCat.
Theo VnReview
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên