El malware de CopyCat produjo $ 1.5 millones al infectar miles de dispositivos Android


Sólo en los EE.UU. 280.000 dispositivos fueron infectados con el malware CopyCat.

CopyCat, aparentemente una variante de una familia mucho más grande de malware , infectó alrededor de 14 millones de dispositivos Android con adware y enraizó 8 millones de ellos, lo que hace imposible eliminar el malware.

El Adware genera ingresos para los atacantes

De acuerdo con CheckPoint , el malware generó un ingreso de 1,5 millones de dólares a través de la instalación de anuncios y aplicaciones falsos. Además, el virus ha estado activo desde el año pasado.

La mayoría de los dispositivos infectados se encontraron en el sudeste de Asia, seguido por los EE.UU., donde 280.000 dispositivos fueron infectados.

En esencia, Asia representó el 55% de los dispositivos infectados, mientras que las Américas representaron el 12% del total. El resto se compone de África (18%), Oceanía (8%) y Europa (7%).

¿Como funciona?

El malware se instala en aplicaciones que se pueden descargar desde tiendas de aplicaciones de terceros. Una vez descargado, el malware se activa sólo después de reiniciar el dispositivo infectado.

Cuando se reinicia un dispositivo, CopyCat comienza a enrutar el dispositivo para obtener privilegios de administrador. Lo hace a través de un grupo de exploits descargados de Amazon S3.

Una vez que el dispositivo ha sido roteado, el malware comienza a instalar un componente en el directorio del sistema, lo que hace imposible que el malware se elimine.

Por último, el malware llega a Zygote, el principal proceso de Android para descargar e instalar aplicaciones. Una vez que Zygote está infectado, CopyCat obtiene derechos de administrador y posteriormente instala aplicaciones falsas en el dispositivo infectado.

El atacante obtiene ingresos por reemplazar el ID de referencia de una aplicación original por uno falso. Además, los derechos de administrador permiten al atacante generar ingresos a través de que el malware publique anuncios falsos e instale aplicaciones fraudulentas.

El servidor de Command-and-Control (C & C) de CopyCat

Los investigadores de Checkpoint también investigaron el servidor C & C del malware para obtener más información sobre cómo funciona el malware. Tras la investigación, se reveló que los datos encontrados en el servidor se remonta a 2016 y anteriores.

De hecho, alrededor de 3,8 millones de dispositivos fueron infectados el año pasado entre los meses de abril y mayo, mientras que 4,4 millones de dispositivos se infiltraron para instalar aplicaciones falsas en Google Play y por lo tanto generar ingresos para el atacante.

Además, los investigadores afirmaron que las vulnerabilidades explotadas por malware eran bastante comunes, algunas de las cuales han estado en el espacio digital bastante años. Además, la razón por la que pudieron acceder a los dispositivos de los usuarios fue probablemente que los usuarios no actualizaron sus sistemas.

¿Quién es responsable del ataque?

No hay evidencia que conduzca a ningún culpable en particular, pero los expertos creen que una red de anuncios con sede en China podría estar detrás de la escena.

Respuesta de Google

Cuando se le preguntó, Google dijo que era consciente del malware y creía que era una variante de una familia de malware más grande. Declaró que se lanzó una actualización para parchear los dispositivos vulnerables cada vez que se descubre un malware relacionado.

Sin embargo, un investigador de Check Point declaró que el malware demostró algunas técnicas muy diferentes que muestran que CopyCat no pertenece a ninguna familia de malware.

Sin embargo, tiene similitudes con otros tipos de malware, particularmente HummingBad y Gooligan .

PlayProtect

Google se refirió a PlayProtect, que es el software de detección de malware de la compañía. PlayProtect explora todas las aplicaciones instaladas en el teléfono de un usuario y comprueba si hay una infección.

Vía |hackread

log in

reset password

Back to
log in