仿冒安卓寻根恶意软件感染1400万台设备

配音抄袭者，该恶意软件能够根除受感染的设备，建立持久性，并将恶意代码注入合子– 一个守护进程，负责在Android上启动应用程序，为黑客提供对设备的完全访问。

1400多万台设备被感染，800万台设备被根除

根据发现这种恶意软件的Check Point安全研究人员的数据，山寨恶意软件已经感染了1400万台设备，其中有近800万台设备被根除，有380万台设备提供广告服务，其中440万台被用来窃取在Google Play上安装应用程序的信用。

虽然受仿冒恶意软件攻击的大多数受害者居住在南亚和东南亚，其中印度是受影响最严重的国家，但美国有28万多台安卓设备也受到感染。

虽然没有证据表明这种模仿恶意软件已经在Google Play上传播，但Check Point的研究人员认为，数百万受害者通过第三方应用程序下载和网络钓鱼攻击受到感染。

喜欢本地的，山寨恶意软件也使用“最先进的技术”进行各种形式的广告欺诈。

CopyCat使用了几个漏洞，包括CVE-2013-6282（VROOT）、CVE-2015-3636（PingPongRoot）和CVE-2014-3153（TowerRoot）来攻击运行Android 5.0及更早版本的设备，这些设备都被广泛使用，而且非常古老，最近的一次是在两年前发现的。

这项活动的成功清楚地表明，数百万安卓用户仍然依赖旧的、未打补丁的、不受支持的设备。

以下是山寨机如何感染Android设备

CopyCat伪装成一款广受欢迎的Android应用，用户可以从第三方商店下载。一旦下载，恶意软件就会开始收集有关受感染设备的数据，并下载rootkit来帮助受害者的智能手机根除。

在植入安卓设备后，山寨恶意软件会移除设备的安全防御，并向Zygote应用程序启动过程中注入代码，以欺诈性地安装应用程序和显示广告，并产生收入。

Check Point的研究人员说：“复制者滥用合子过程来显示虚假广告，同时隐藏其来源，这使得用户很难理解是什么导致广告在屏幕上弹出。”。

“CopyCat还使用一个单独的模块将欺诈应用直接安装到设备上。鉴于大量设备感染了恶意软件，这些活动为CopyCat的创建者创造了大量利润。”

在短短两个月的时间里，这种模仿恶意软件帮助黑客获得了150多万美元的收入。大部分利润（超过73.5万美元）来自在受感染设备上近490万个虚假安装，其中显示了多达1亿条广告。

大多数受害者位于印度、巴基斯坦、孟加拉国、印度尼西亚和缅甸，尽管加拿大有38.1万台设备和美国有28万多台设备感染了山寨病毒。

山寨恶意软件通过中国广告网络传播

虽然没有直接证据表明谁是这场模仿恶意软件运动的幕后黑手，但Check Point的研究人员发现了以下提到的联系，表明黑客可能利用中国广告网络“MobiSummer”传播恶意软件。

• 山寨恶意软件和MobiSummer在同一台服务器上运行
• MobiSummer签署了几行抄袭者的代码
• CopyCat和MobiSummer使用相同的远程服务
• 尽管有超过一半的受害者居住在亚洲，但模仿者并没有针对中国用户

Check Point的研究人员说：“需要注意的是，虽然存在这些连接，但这并不一定意味着恶意软件是由该公司创建的，而且背后的犯罪者可能在该公司不知情的情况下使用了MobiSummer的代码和基础设施。”。

旧设备上的Android用户仍然容易受到复制攻击，但前提是他们从第三方应用商店下载应用。

2017年3月，Check Point的研究人员向谷歌通报了仿冒活动，这家科技巨头已经更新了Play Protect以阻止恶意软件。

因此，即使是旧设备上的Android用户也可以通过Play Protect获得保护，随着CopyCat等恶意软件的不断增长，Play Protect会定期更新。