Исследователи компании Check Point Software Technologies обнаружили новый мобильный зловред, нацеленный на миллионы пользователей Android. CopyCat уже заразил более 14 миллионов устройств по всему миру и взломал восемь миллионов из них. Большая часть жертв находится в Юго-Восточной Азии, однако заражению также подверглись 280 тысяч пользователей из США. По оценкам экспертов, с помощью новой технологии генерации доходов от рекламы CopyCat принес своим создателям более 1,5 миллиона долларов за два месяца.

CopyCat — полностью завершенный зловред с огромными возможностями, которые включают рутинг устройств, смену настроек и, что самое опасное, внедрение кода в Zygote. Zygote — это системный процесс, в ходе которого происходит установка всех Android-приложений. Внедрив в него вредоносный код, хакеры получают возможность контролировать любую активность на устройстве.

Мобильный зловред CopyCat имеет модульную структуру, в которой каждый модуль играет отдельную роль. Это позволяет его разработчикам выбирать и менять стратегию поведения зловреда на устройстве, чтобы наиболее эффективно добиваться поставленных целей. Эксперты Check Point акцентируют внимание на опасности такого рода вредоносных программ, которые могут изменить цель кампании в любой момент.

Заражение начинается с установочного модуля, который выглядит как полностью легитимное приложение. Загрузка и активация, как правило, не вызывают подозрений у пользователя. Затем приложение распаковывает или загружает собственный двоичный файл под названием Rser, который последовательно запускает эксплойты, пытаясь расширить рутинговые привилегии. После успешного завершения этого этапа зловред копирует модули Aser и ads в системные настройки. Aser внедряет общую библиотеку в процессы Zygote и system_server. Инъекционный модуль работает вместе с модулями layout_hook и ads и выполняет различные стратегии мошенничества с использованием рекламы для получения дохода. Более подробную информацию о технических характеристиках CopyCat, а также о том, как распознать инфекцию и бороться с ней, вы можете найти в нашем блоге: http://blog. checkpoint. com/2017/07/06/how-the-copycat-malware-infected-android-devices-around-the-world/