Зловред CopyCat поразил более 14 миллионов Android-устройств

Исследователи компании Check Point сообщили о массированной атаке вредоносного ПО CopyCat, которым оказались инфицированы свыше 14 миллионов Android-устройств. Зловред распространяется под видом легитимных приложений, но только в сторонних магазинах – представители Google заверяют, что он никогда не появлялся в Google Play, и специалисты Check Point разделяют эту точку зрения. Инфицируя устройства под управлением ОС Android 5.0 и более ранних версий, CopyCat отключает защитные механизмы и изменяет работу Zygote – родительского процесса для запуска всех Android-приложений.

С этого момента зловред владеет информацией обо всех приложениях, которые устанавливаются и запускаются на устройстве. Он также сам устанавливает дополнительные приложения без ведома пользователя. Цель этих действий – разумеется, обогащение организаторов атаки. CopyCat не только накручивает трафик на рекламные баннеры, он способен еще и подменять идентификационный код легитимных приложений на свой собственный. Таким образом, прибыль за баннеры, демонстрируемые даже легитимными приложениями, попадает не к их разработчикам, а к авторам зловреда. По оценкам Check Point, всего за два месяца эта тактика принесла организаторам атаки свыше полутора миллионов долларов.

Главными жертвами атаки становятся пользователи азиатских стран – Индии, Пакистана, Индонезии, Бангладеш и Мьянмы. Примечательно, что при этом зловред отслеживает, не находится ли инфицированное устройство в КНР. В последнем случае вредоносная активность блокируется. Это может указывать на китайское происхождение вредоносного ПО – и на стремление его создателей избежать интереса со стороны китайских правоохранителей.