CopyCat способен получать на зараженном устройстве права суперпользователя.
Исследователи компании Check Point предупредили о новом вредоносном ПО CopyCat, уже заразившем 14 млн Android-устройств по всему миру. Всего за два месяца вредонос принес своим операторам $1,5 млн.
CopyCat способен получать на зараженном устройстве права суперпользователя, добиваться персистентности и внедрять вредоносный код в Zygote, предоставляя хакерам полный доступ к системе. По данным исследователей, вредонос получил права суперпользователя на более 8 млн из 14 млн зараженных устройств. 3,8 млн инфицированных систем отображают рекламу, а еще 4,4 млн используются для похищения кредита на установку приложений из Google Play.
CopyCat использует несколько эксплоитов для заражения устройств, работающих под управлением Android 5.0 и более ранних версий. Большая часть жертв вредоноса приходится на страны Южной и Юго-Восточной Азии (в особенности на Индию), однако 280 тыс. зараженных гаджетов насчитывается в США. Нет никаких данных, свидетельствующих о том, что вредонос распространяется через Google Play. По мнению исследователей, скорее всего, CopyCat попадает через загруженные со сторонних магазинов приложения и с помощью фишинга.
Кто именно стоит за CopyCat, неизвестно, однако эксперты Check Point подозревают китайскую маркетинговую компанию MobiSummer. И вредонос, и компания используют один и тот же сервер и одни и те же удаленные сервисы, а несколько строк кода CopyCat подписан MobiSummer. Кроме того, хотя большая часть жертв вредоносного ПО приходится на Азию, CopyCat не заражает устройства в Китае.
Zygote – демон, ответственный за запуск приложений на Android-устройствах.
