CopyCat，安卓系統的“永恒之藍”？

趙明

如果說WannaCry是Windows系統的重大威脅，那么什么是Android系統的重大威脅呢？那就是CopyCat。

Check Point以色列捷邦安全軟件科技有限公司的移動威脅研究人員最近發現一種針對移動設備的惡意軟件，并聲稱它目前已經感染了1400萬部安卓設備，獲取了其中800萬部的root權限，在短短兩個月內，黑客通過使用CopyCat 已經賺取了約150萬美元的假冒廣告收入。

Check Point 移動威脅研究人員指出，CopyCat采用一種新的技術來制造和竊取廣告收入。CopyCat 主要感染位于東南亞的用戶，但它也傳播至美國，感染了超過28萬名安卓設備用戶。

CopyCat是一款惡意軟件，具有強大的功能，包括對設備獲取root權限，能持續進行攻擊，以及將代碼注入Zygote（Zygote負責在安卓操作系統中啟動應用程序），因此它可以控制設備上的任何活動。

CopyCat 是在意圖攻擊一家受Check Point SandBlast Mobile保護的企業時被發現的，Check Point研究人員從這款惡意軟件的命令與控制服務器中檢索到信息，并且對其內部工作方式進行了完整的逆向操作工程，這些資料在其全面的技術報告中有詳細介紹。

CopyCat攻擊在2016年4月和5月達到頂峰。研究人員相信此次大型攻擊是通過把惡意軟件與流行應用程序結合重新包裝，然后通過第三方應用商店進行散播，以及采用釣魚欺詐手段。目前沒有證據說明CopyCat是通過Google的官方應用商店Google Play進行發布。

2017年3月，Check Point向Google通報了CopyCat惡意軟件以及其操作方法。據Google介紹，他們可以應對這次攻擊，并且當前受感染的設備數量遠遠低于攻擊高峰時期。不幸的是，已經受到CopyCat惡意軟件感染的設備，至今仍然受到這款病毒的影響。

CopyCat惡意軟件感染全球1400萬部設備，對其中約800萬部設備獲取了root權限，這被研究人員稱為是前所未有的攻擊成功率。研究人員也表示此惡意軟件為黑客創造了150萬美元的廣告收入。

CopyCat惡意軟件采用最新的技術來衍生出多種形式的廣告欺詐方式，與Check Point 之前發現的惡意軟件Gooligan、DressCode和 Skinner 相似。一旦感染，CopyCat首先獲取用戶設備root權限，允許攻擊者完全控制設備，并且基本上致使用戶毫無辦法。

CopyCat將代碼注入Zygote應用程序啟動功能，允許攻擊者利用自己的ID來替換真正推薦人ID，從而獲得許可安裝欺詐性的應用程序來獲得收入。另外，CopyCat使得Zygote發布欺詐性的廣告而隱藏他們的真實來源，使得用戶難以理解為何這些廣告會在屏幕上彈出。CopyCat也使用單獨的模塊直接在設備上安裝欺詐性應用程序。CopyCat惡意軟件致使大規模的設備遭受感染，為背后的黑客聚斂巨額錢財。

Check Point研究人員調查了2016年4月到5月期間一臺活躍的命令與控制服務器，記錄下超過1.4億部受感染設備，其中800萬（54%）的設備已被獲取root權限。有380萬（26%）受感染設備顯示欺詐廣告，440萬設備或30%受感染設備的信用憑證被竊取，用于在Google Play上安裝應用程序。

攻擊者獲得的收益預計超出150萬美元，大部分都是在短短兩個月內賺到的。CopyCat 制造的近1億條惡意軟件廣告，總共產生利潤多達12萬美元。因為Check Point 只能測量出多少設備感染上欺詐性安裝套利，而不知道該類活動發生的次數，只能保守估計每臺設備只執行一次該類活動。如此計算，攻擊者從中賺到的利潤預計超過66萬美元。最大的收益來源是CopyCat騙取的490萬個欺詐性應用程序的安裝，從中產生多達73.5萬美元的利潤。

如CopyCat這般復雜的惡意軟件要求先進的防護手段，能夠通過靜態和動態的應用程序分析識別和封鎖零日惡意軟件的攻擊。只有在一個設備上監測到惡意軟件的操作環境，才能制定策略，成功封鎖。用戶和企業應把移動設備視為網絡中的其它設備一樣對待，并通過最佳的網絡安全解決方案保護它們。

Check Point的用戶受到SandBlast Mobile的保護，網絡前端由Check Point Anti-Bot blade執行防御，可以有效抵御帶有Trojan.AndroidOS.CopyCat簽名特征的CopyCat惡意軟件。