Вирус CopyCat заразил 14 млн Android-устройств и заработал $1,5 млн

Авторитетная израильская компания Check Point, специализирующаяся на IT-безопасности, сообщила подробности масштабного заражения Android-устройств вирусом CopyCat. Речь идет о 14 млн смартфонов и планшетов и $1,5 млн прибыли, полученной его создателями.

Check Point сообщает, что пик заражения данным вирусом припал на апрель-май 2016 года, когда он попадал на устройства пользователей через магазин приложений Google Play. Тогда компания Google предотвратила эпидемию заражений, но зловред успел заразить достаточно большое количество устройств и принести своим создателям $1,5 млн. Тем не менее, три месяца назад исследователи компании снова обнаружили следы активности вируса, который, по-видимому, продолжал распространяться через сторонние ресурсы с мобильными приложениями.

По словам специалистов, CopyCat смог получить на более 8 млн устройствах права суперпользователя, предоставляя хакерам полный доступ к системе. По полученным данным, вирус отображал поддельные рекламные объявления и устанавливал фейковые приложения. Кроме того, CopyCat мог перехватывать данные об установке программ по реферальным ссылкам, получая таким образом вознаграждения. Вредоносное ПО использовало уязвимости в Android версии 5.0 и ниже через системный процесс Zygote.

CopyCat в первую очередь затронул мобильные устройства в Юго-Восточной Азии, особенно в Индии, Пакистане и Бангладеше. Жертвами вируса также стали около 280 тыс. пользователей из США. Примечательно, что вирус обошел стороной Китай. Это наводит на мысль, что его создатели могли находиться в этой стране. Ресурс Fortune проследил CopyCat от самого его появления и нашел связь с китайской компанией MobiSummer, базирующейся в Гуанчжоу. Вирус использует сервер компании, те же удаленные сервисы, а некоторые строки кода CopyCat содержат подпись MobiSummer.

В свою очередь, представители Google сообщили, что знают о вирусе, а их новая функция защиты Play Protect сканирует и удаляет подобные вредоносные приложения.

«CopyCat — это вариант более широкого семейства вредоносных программ, которые мы отслеживаем с 2015 года. Каждый раз, когда появляется новый вирус, мы обновляем системы обнаружения, чтобы защитить наших пользователей. Play Protect защищает пользователей от семейства CopyCat, а приложения с этим вирусом не распространялись через Google Play», — рассказали в Google.