Theo các nhà nghiên cứu của Check Point, một loại mã độc mới có tên CopyCat đã ảnh hưởng đến hơn 14 triệu thiết bị Android trên toàn cầu, root máy và hck ứng dụng để kiếm hàng triệu USD doanh thu quảng cáo lừa đảo.
Dù phần lớn nạn nhân sống tại châu Á, có hơn 280.000 thiết bị Android tại Mỹ cũng bị tác động bởi cuộc tấn công khổng lồ. Google đã theo dõi dấu vết của mã độc trong 2 năm qua và nâng cấp Play Protect để chống CopyCat nhưng hàng triệu người vẫn “lọt lưới” khi tải ứng dụng của bên thứ ba và tấn công lừa đảo.
Check Point cho biết không có bằng chứng CopyCat được phát tán trên Google Play.
Đúng như tên gọi của mình, CopyCat giả làm ứng dụng phổ biến trên các chợ ứng dụng bên ngoài, chẳng hạn SlmSlml, đang có hơn 50 triệu lượt tải trên Google Play. Sau khi tải về máy, nó thu thập dữ liệu về thiết bị nhiễm độc và tải rootkit về để giúp root điện thoại, về cơ bản chặn hệ thống bảo mật của máy.
Từ đây, CopyCat có thể tải các phần mềm giả khác cũng như hijack Zygote - launcher trên thiết bị. Một khi đã kiểm soát được Zygote, nó biết mọi ứng dụng bạn cài đặt cũng như mở thường xuyên. CopyCat có khả năng thay thế Referrer ID trên ứng dụng bằng cái của nó, vì vậy mọi quảng cáo hiện ra trong ứng dụng đều gửi doanh thu về cho hacker thay vì nhà phát triển. Không chỉ có vậy, nó còn hiển thị quảng cáo riêng để kiếm thêm.
Có gần 4,9 triệu ứng dụng giả mạo đã bị cài trên thiết bị nhiễm độc, hiển thị tối đa 100 triệu quảng cáo. Check Point ước tính chỉ trong 2 tháng, CopyCat giúp hacker thu về hơn 1,5 triệu USD.
Tuy chưa có bằng chứng trực tiếp nào về người đứng sau cuộc tấn công, có một vài kết nối giữa CopyCat và mạng quảng cáo MobiSummer của Trung Quốc. Malware và công ty quảng cáo hoạt động trên cùng một máy chủ và một số dòng trong đoạn mã của virus được dùng bởi MobiSummer. Cả hai cũng dùng chung dịch vụ điều khiển từ xa.
Nạn nhân chủ yếu ở Ấn Độ, Pakistan, Bangladesh, Indonesia và Myanmar. Malware lây lan qua 5 lỗ hổng trên thiết bị chạy Android 5.0 trở về trước, từng bị phát hiện và vá hơn 2 năm trước. Người dùng Android trên thiết bị cũ vẫn có nguy cơ bị tấn công nếu tải về từ kho thứ ba.
Theo Check Point, điều này hoàn toàn có thể xảy ra do người dùng không vá thiết bị thường xuyên hoặc tệ hơn là không cập nhật bao giờ.
Theo GenK