Mã độc CopyCat lây nhiễm trên 14 triệu thiết bị Android

09:12 | 12/07/2017

Theo Cnet, một dạng phần mềm độc hại mới - Copycat đã lây nhiễm hơn 14 triệu thiết bị Android trên toàn thế giới, thông qua việc root điện thoại và tải các ứng dụng độc hại để thu tiền quảng cáo.

Đa số các nạn nhân là ở Ấn Độ, Pakistan, Bangladesh, Indonesia và Myanmar. Hơn 381.000 thiết bị Android ở Canada và hơn 280.000 thiết bị Android tại Mỹ cũng bị nhiễm CopyCat.  Google đã theo dõi các phần mềm độc hại trong 2 năm trở lại đây và đã cập nhật Play Protect để khóa CopyCat, nhưng hàng triệu nạn nhân vẫn có thể bị nhiễm mã độc này do tải ứng dụng của bên thứ 3 hoặc bị ảnh hưởng từ các cuộc tấn công.

Theo Check Point, không có bằng chứng cho thấy CopyCat được phát hành trên Google Play.

Mã độc CopyCat sử dụng vỏ bọc là một ứng dụng của bên thứ 3, chẳng hạn như Simsimi (ứng dụng này có đến 50 triệu lượt tải về trên Google Play). Sau khi tải về, mã độc thu thập dữ liệu về các thiết bị và tải công cụ chiếm quyền điều khiển và cắt đứt hệ thống an ninh của thiết bị.



Từ đó, CopyCat có thể tải các ứng dụng giả mạo khác, ví dụ như Zygote – thành phần chịu trách nhiệm khởi động ứng dụng trên Android, cung cấp cho tin tặc toàn quyền truy cập vào thiết bị. 

Copycat có khả năng thay thế Referrer ID trên các ứng dụng của bạn. Như vậy, mỗi quảng cáo bật lên trên các ứng dụng đó sẽ gửi doanh thu về cho tin tặc thay vì gửi cho người tạo ra ứng dụng.

Đã có gần 4,9 triệu ứng dụng giả mạo được cài đặt trên các thiết bị bị nhiễm, hiển thị lên đến 100 triệu quảng cáo. Chỉ trong vòng hai tháng, CopyCat đã giúp tin tặc thu về 1,5 triệu USD.

Qua kiểm tra, Check Point thấy rằng người dùng Trung Quốc không bị nhiễm CopyCat. Vẫn chưa có chứng cứ cụ thể nào để khẳng định ai đứng sau mã độc này, nhưng nó có nhiều liên kết với mạng quảng cáo MobiSummer của Trung Quốc. Các phần mềm độc hại và các công ty quảng cáo hoạt động trên cùng một máy chủ và các dòng mã trong phần mềm độc hại xác nhận được gửi bởi MobiSummer.

CopyCat sử dụng một vài khai thác bao gồm: CVE-2013-6282 (VROOT), CVE-2015-3636 (PingPongRoot), và CVE-2014-3153 (Towelroot) nhằm tấn công thiết bị Android 5.0 và các phiên bản thấp hơn. Sự lây lan phần mềm độc hại trên các thiết bị chạy Android 5.0 trở về trước đã được phát hiện và vá lỗ hổng. Tuy nhiên, người dùng các thiết bị Android cũ vẫn dễ bị nhiễm phần mềm độc hại nếu họ thường xuyên tải ứng dụng từ ứng dụng bên thứ 3.

Check Point cho biết, những lỗ hổng cũ vẫn còn nguy hiểm bởi vì người dùng không nhật bản vá các thiết bị thường xuyên. Còn theo Google, các thiết bị cũ có thể được bảo vệ khỏi CopyCat bằng cách sử dụng Play Protect và cập nhật thường xuyên.

Vụ tấn công này diễn ra trong tháng 4 và 5/2016 và sau đó chậm lại do Google đưa CopyCat vào blacklist của Play Protect. Tuy nhiên, Check Point cho biết vẫn còn nhiều thiết bị nhiễm Copy Cat.