趙明

如果說(shuō)WannaCry是Windows系統(tǒng)的重大威脅，那么什么是Android系統(tǒng)的重大威脅呢？那就是CopyCat。

Check Point以色列捷邦安全軟件科技有限公司的移動(dòng)威脅研究人員最近發(fā)現(xiàn)一種針對(duì)移動(dòng)設(shè)備的惡意軟件，并聲稱它目前已經(jīng)感染了1400萬(wàn)部安卓設(shè)備，獲取了其中800萬(wàn)部的root權(quán)限，在短短兩個(gè)月內(nèi)，黑客通過(guò)使用CopyCat 已經(jīng)賺取了約150萬(wàn)美元的假冒廣告收入。

Check Point 移動(dòng)威脅研究人員指出，CopyCat采用一種新的技術(shù)來(lái)制造和竊取廣告收入。CopyCat 主要感染位于東南亞的用戶，但它也傳播至美國(guó)，感染了超過(guò)28萬(wàn)名安卓設(shè)備用戶。

CopyCat是一款惡意軟件，具有強(qiáng)大的功能，包括對(duì)設(shè)備獲取root權(quán)限，能持續(xù)進(jìn)行攻擊，以及將代碼注入Zygote（Zygote負(fù)責(zé)在安卓操作系統(tǒng)中啟動(dòng)應(yīng)用程序），因此它可以控制設(shè)備上的任何活動(dòng)。

CopyCat 是在意圖攻擊一家受Check Point SandBlast Mobile保護(hù)的企業(yè)時(shí)被發(fā)現(xiàn)的，Check Point研究人員從這款惡意軟件的命令與控制服務(wù)器中檢索到信息，并且對(duì)其內(nèi)部工作方式進(jìn)行了完整的逆向操作工程，這些資料在其全面的技術(shù)報(bào)告中有詳細(xì)介紹。

CopyCat攻擊在2016年4月和5月達(dá)到頂峰。研究人員相信此次大型攻擊是通過(guò)把惡意軟件與流行應(yīng)用程序結(jié)合重新包裝，然后通過(guò)第三方應(yīng)用商店進(jìn)行散播，以及采用釣魚欺詐手段。目前沒(méi)有證據(jù)說(shuō)明CopyCat是通過(guò)Google的官方應(yīng)用商店Google Play進(jìn)行發(fā)布。

2017年3月，Check Point向Google通報(bào)了CopyCat惡意軟件以及其操作方法。據(jù)Google介紹，他們可以應(yīng)對(duì)這次攻擊，并且當(dāng)前受感染的設(shè)備數(shù)量遠(yuǎn)遠(yuǎn)低于攻擊高峰時(shí)期。不幸的是，已經(jīng)受到CopyCat惡意軟件感染的設(shè)備，至今仍然受到這款病毒的影響。

CopyCat惡意軟件感染全球1400萬(wàn)部設(shè)備，對(duì)其中約800萬(wàn)部設(shè)備獲取了root權(quán)限，這被研究人員稱為是前所未有的攻擊成功率。研究人員也表示此惡意軟件為黑客創(chuàng)造了150萬(wàn)美元的廣告收入。

CopyCat惡意軟件采用最新的技術(shù)來(lái)衍生出多種形式的廣告欺詐方式，與Check Point 之前發(fā)現(xiàn)的惡意軟件Gooligan、DressCode和 Skinner 相似。一旦感染，CopyCat首先獲取用戶設(shè)備root權(quán)限，允許攻擊者完全控制設(shè)備，并且基本上致使用戶毫無(wú)辦法。

CopyCat將代碼注入Zygote應(yīng)用程序啟動(dòng)功能，允許攻擊者利用自己的ID來(lái)替換真正推薦人ID，從而獲得許可安裝欺詐性的應(yīng)用程序來(lái)獲得收入。另外，CopyCat使得Zygote發(fā)布欺詐性的廣告而隱藏他們的真實(shí)來(lái)源，使得用戶難以理解為何這些廣告會(huì)在屏幕上彈出。CopyCat也使用單獨(dú)的模塊直接在設(shè)備上安裝欺詐性應(yīng)用程序。CopyCat惡意軟件致使大規(guī)模的設(shè)備遭受感染，為背后的黑客聚斂巨額錢財(cái)。

Check Point研究人員調(diào)查了2016年4月到5月期間一臺(tái)活躍的命令與控制服務(wù)器，記錄下超過(guò)1.4億部受感染設(shè)備，其中800萬(wàn)（54%）的設(shè)備已被獲取root權(quán)限。有380萬(wàn)（26%）受感染設(shè)備顯示欺詐廣告，440萬(wàn)設(shè)備或30%受感染設(shè)備的信用憑證被竊取，用于在Google Play上安裝應(yīng)用程序。

攻擊者獲得的收益預(yù)計(jì)超出150萬(wàn)美元，大部分都是在短短兩個(gè)月內(nèi)賺到的。CopyCat 制造的近1億條惡意軟件廣告，總共產(chǎn)生利潤(rùn)多達(dá)12萬(wàn)美元。因?yàn)镃heck Point 只能測(cè)量出多少設(shè)備感染上欺詐性安裝套利，而不知道該類活動(dòng)發(fā)生的次數(shù)，只能保守估計(jì)每臺(tái)設(shè)備只執(zhí)行一次該類活動(dòng)。如此計(jì)算，攻擊者從中賺到的利潤(rùn)預(yù)計(jì)超過(guò)66萬(wàn)美元。最大的收益來(lái)源是CopyCat騙取的490萬(wàn)個(gè)欺詐性應(yīng)用程序的安裝，從中產(chǎn)生多達(dá)73.5萬(wàn)美元的利潤(rùn)。

如CopyCat這般復(fù)雜的惡意軟件要求先進(jìn)的防護(hù)手段，能夠通過(guò)靜態(tài)和動(dòng)態(tài)的應(yīng)用程序分析識(shí)別和封鎖零日惡意軟件的攻擊。只有在一個(gè)設(shè)備上監(jiān)測(cè)到惡意軟件的操作環(huán)境，才能制定策略，成功封鎖。用戶和企業(yè)應(yīng)把移動(dòng)設(shè)備視為網(wǎng)絡(luò)中的其它設(shè)備一樣對(duì)待，并通過(guò)最佳的網(wǎng)絡(luò)安全解決方案保護(hù)它們。

Check Point的用戶受到SandBlast Mobile的保護(hù)，網(wǎng)絡(luò)前端由Check Point Anti-Bot blade執(zhí)行防御，可以有效抵御帶有Trojan.AndroidOS.CopyCat簽名特征的CopyCat惡意軟件。