MALWARE COPYCAT INFECTA 14 MILLONES DE DISPOSITIVOS ANDROID

Investigadores de Equipo de Investigación Mobile Check Point han descubierto una nueva familia de malware para Android que infectó a 14 millones de dispositivos y arraigada 8 millones de ellos.

Según el experto, la nueva cepa de malware para Android llamado CopyCat permitió a sus autores para ganar $ 1.5 millones de 04-mayo 2016 mediante la implementación de un sistema de aviso por fraude.

“investigadores de Check han identificado un malware móvil que infectó a 14 millones de dispositivos Android, el enraizamiento de aproximadamente 8 millones de ellos, y ganar los hackers detrás de la campaña de aproximadamente $ 1.5 millones de dólares en ingresos por publicidad falsos en dos meses.” segun el análisis publicado por los investigadores. “Imitador está una amplia campaña que infectó a 14 millones de dispositivos en todo el mundo, el enraizamiento de 8 millones de ellos, en lo que los investigadores describen como una tasa de éxito sin precedentes. Comprobar investigadores Point estiman que el malware genera $ 1.5 millones para el grupo detrás de la campaña “.

Los investigadores de Equipo de Investigación Mobile Check Point vistos CopyCat en marzo, el mayor número de infecciones está en el sudeste de Asia (55%) y África (18%), pero las infecciones en los EE.UU. están aumentando.

Los atacantes se extienden por el malware trojanizing aplicaciones populares que se pusieron a disposición para su descarga en las tiendas de aplicaciones de terceros.

Una vez instalado en el dispositivo móvil de destino, el malware espera a que se reinicie, a continuación, se descarga una serie de proezas que van desde un depósito de Amazon S3 con el fin de erradicar el dispositivo.

“Una vez que el dispositivo se haya reiniciado, CopyCat descarga un‘’paquete desde un depósito de S3, un servicio de almacenamiento web proporcionada por Amazon actualizar. Este paquete contiene seis exploits comunes con las que el malware intenta erradicar el dispositivo.”, Continúa el análisis.

“Si tiene éxito, CopyCat instala otro componente al directorio del sistema del dispositivo, una actividad que requiere permisos de root, y establece la persistencia , por lo que es difícil de eliminar”

El código malicioso inyecta código en el proceso de cigoto en el núcleo de Android que lanza aplicaciones, con esta técnica los atacantes obtener privilegios de administrador.

De acuerdo con los expertos de Check Point, los autores del malware CopyCat utilizan para inyectar código en el proceso de cigotos para obtener crédito para las aplicaciones de manera fraudulenta instalado en el dispositivo mediante el canje de los ID de URL de referencia para las aplicaciones legítimas con su propia cuenta.

Los ladrones también ganan dinero por mostrar anuncios falsos e instala aplicaciones falsas.

El análisis de servidores C & C, reveló que entre abril y mayo los atacantes sirven anuncios falsos a 3,8 millones de unidades, mientras que los ladrones estaban robando el crédito para la instalación de aplicaciones en Google Play a partir de 4,4 millones de otros dispositivos.

Es interesante observar que el malware CopyCat utiliza una mayor parte de los viejos exploits para erradicar millones de dispositivos, tales como la Towelroot, otros ataques eran de 2014 y 2013. Esto significa que el éxito del ataque CopyCat que es posible debido a un gran número de dispositivos sin parches.

Expertos de malware creen que la red ad MobiSummer chino podría estar detrás del malware imitador.

“No está claro quién está detrás del ataque imitador, sin embargo, hay varias conexiones a MobiSummer, una red de publicidad en China. Es importante tener en cuenta que, si bien existen estas conexiones, no necesariamente significa que el malware ha sido creado por la empresa, y es posible que los autores detrás de él utiliza código y la infraestructura de MobiSummer sin el conocimiento de la empresa.”Afirma el análisis.

“La primera conexión entre la empresa y el malware es el servidor, que opera tanto el malware y algunos de la actividad de MobiSummer. Además, algunos de código de malware está firmado por sí MobiSummer, y algunos de los servicios remotos utilizados por el malware fueron creados por la compañía. El malware también se abstiene de focalización dispositivos chinos, lo que sugiere que los desarrolladores de malware son chinos y quieren evitar cualquier investigación por parte de la policía local, una táctica común en el mundo de malware “.


Fecha actualización el 2017-7-7. Fecha publicación el . Categoría: Seguridad. Autor: Mapa del sitio Fuente: CheckPoint
Malware CopyCat