据外媒报道,美国安全软件厂商 Check Point 的研究人员周四表示,恶意软件 CopyCat 的新变种开始在全球肆虐,目前已经感染了 1400 万部 Android 设备。这种新病毒通过 ROOT 手机和劫持应用程序获利,据说已经获得了数百万美元的欺诈性广告收入。

  虽然大多数受害者都在亚洲,但是美国也有超过 28 万部 Android 设备遭到大规模黑客攻击。
  谷歌在过去的两年里一直在追踪 CopyCat 恶意软件,并且升级了安全软件 Play Protect 来拦截该恶意软件,但是仍有数百万人因为下载第三方应用和钓鱼攻击而受到攻击。
  据 Check Point 称,目前没有证据表明 CopyCat 是通过 Google Play 应用商店传播的。
  谷歌在声明中表示:“Play Protect 可以保护用户不受被感染应用的影响。”
  CopyCat 正如其名一样,是通过假冒其他流行应用来欺骗用户的。一旦用户下载了这种假冒的恶意应用软件,它会收集受感染设备的数据,下载 ROOT 工具来 ROOT 受感染的设备,从而切断其安全系统。
  然后,CopyCat 可以下载各种虚假应用,劫持受感染设备的应用启动程序 Zygote。一旦它控制住 Zygote,它能知道你下载过哪些新的应用程序以及你打开的每一款应用程序。
  CopyCat 可以用它自己的推荐者 ID(Referrer ID)来替换受感染设备上的每一款应用程序的推荐者 ID,这样在应用程序上弹出的每一个广告都会为黑客创造收益,而不是为应用开发者创造广告收益。每隔一段时间,CopyCat 还会发布自己的广告来增加收入。
  Check Point 估计,现在已有近 490 万个虚假应用被安装到受感染的设备上,它们能够显示 1 亿条广告。仅仅两个月,CopyCat 会黑客赚到了 150 万美元的广告收入。
  这款恶意软件的绝大多数受害者来自印度、巴基斯坦、孟加拉国、印度尼西亚和缅甸。在加拿大,也有超过 38 万部 Android 设备受到感染。
  这种恶意软件通过 5 个漏洞传播,这些安全漏洞主要存在于 Android 5.0 或更早版本的系统中,这些漏洞已在两年多以前被发现和修复。但是如果 Android 用户在第三方应用市场下载应用,他们仍然会受到攻击。
  Check Point 说:“这些旧的漏洞仍然有效,因为很多用户并不经常或者根本不修复设备的漏洞。”
  谷歌表示,只要使用 Play Protect 软件,再老旧的 Android 设备也不会受到 CopyCat 的影响,因为 Play Protect 软件会定期更新。
  CopyCat 的受害者数量在 2016 年 4 月到 5 月期间达到顶峰,自从谷歌将它列入 Play Protect 的黑名单之后,受害者数量的增长速度减慢了。但是 Check Point 认为,现在仍有不少 Android 设备正在受到这款恶意软件的折磨。