Z?o?liwe oprogramowanie, okre?lane przez badaczy mobilnych zagro?e? firmy Check Point mianem CopyCat, wykorzystuje now? technik? generowania i kradzie?y przychodów z reklam. Mimo ?e zainfekowani przez CopyCat u?ytkownicy pochodz? g?ównie z Azji Po?udniowo-Wschodniej, wirus rozprzestrzeni? si? równie? na ponad 280 000 u?ytkowników Androida w Stanach Zjednoczonych.

CopyCat jest w pe?ni rozwini?tym z?o?liwym oprogramowaniem z ogromnymi mo?liwo?ciami, w tym opcj? rootowania urz?dze?, co utrudnia jego usuni?cie. CopyCat potrafi te? wstrzykiwa? kod do Zygote – demona odpowiedzialnego za uruchamianie aplikacji w systemie operacyjnym Android – co umo?liwia wirusowi kontrolowanie wszystkich dzia?a? na urz?dzeniu.

Badacze pierwszy raz zetkn?li si? z tym szkodliwym oprogramowaniem, kiedy zaatakowa?o ono urz?dzenia w firmie chronionej przez Check Point SandBlast Mobile. Check Point pozyska? informacje z serwera Command & Control z?o?liwego oprogramowania oraz przeprowadzi? pe?n? in?ynieri? wsteczn?, której wyniki zosta?y przedstawione w  raporcie technicznym.

Atak CopyCat osi?gn?? najwi?ksze nasilenie w okresie od kwietnia do maja 2016 r. Badacze uwa?aj?, ?e wirus rozpowszechni? si? za spraw? popularnych aplikacji, pobieranych wraz ze z?o?liwym oprogramowaniem z zewn?trznych sklepów z aplikacjami, a tak?e przez oszustwa typu phishing, które maj? na celu wy?udzanie informacji. Nie ma dowodów na to, ?e CopyCat zosta? rozpowszechniony przez Google Play, oficjalny sklep Google.

W marcu 2017 roku firma Check Point poinformowa?a Google o kampanii CopyCat oraz o tym, jaki by? sposób dzia?ania tego z?o?liwego oprogramowania. Wed?ug firmy Google uda?o si? st?umi? kampani?, a obecna liczba zainfekowanych urz?dze? jest znacznie ni?sza ni? w momencie jej szczytu. Niestety, dzi? u?ytkownik zainfekowanego urz?dzenia mo?e wci?? pa?? ofiar? dalszych ataków.

Co robi CopyCat?

CopyCat to rozbudowana kampania z?o?liwego oprogramowania, która zarazi?a 14 milionów urz?dze? na ca?ym ?wiecie i zrootowa?a 8 milionów z nich, co specjali?ci opisuj? jako bezprecedensow? liczb?. Oceniaj? oni, ?e CopyCat wygenerowa? 1,5 miliona dolarów przychodu dla grupy odpowiadaj?cej za kampani?.

CopyCat wykorzystuje najnowocze?niejsz? technologi? do przeprowadzania ró?nych form oszustw reklamowych, podobnych do poprzednich szkodliwych programów wykrytych przez Check Point, takich jak Gooligan, DressCode i Skinner. Po zainfekowaniu, CopyCat od razu rootuje urz?dzenie u?ytkownika, umo?liwiaj?c osobie atakuj?cej pe?n? kontrol? nad urz?dzeniem i zasadniczo pozostawiaj?c u?ytkownika bezbronnego wobec zagro?enia.

Nast?pnie CopyCat wstrzykuje kod do procesu uruchamiaj?cego aplikacj? Zygote, umo?liwiaj?c napastnikowi uzyskanie przychodów z instalowania niechcianych aplikacji, poprzez podmian? ID polecaj?cego, swoim w?asnym. Ponadto CopyCat u?ywa procesu Zygote do wy?wietlania fa?szywych reklam, ukrywaj?c ich pochodzenie, przez co u?ytkownicy nie wiedz?, co powoduje wy?wietlanie reklam na ich ekranach. CopyCat instaluje równie? nieuczciwe aplikacje bezpo?rednio na urz?dzeniu, u?ywaj?c osobnego modu?u. Za spraw? du?ej liczby urz?dze? zainfekowanych przez z?o?liwe oprogramowanie, dzia?ania te generuj? du?e zyski twórcom CopyCat.

Adware – czy problem s? tylko reklamy?

Adware koncentruje si? na zyskach pochodz?cych z bran?y reklamowej. Zaawansowanie technologiczne CopyCata wskazuje jak dochodowe jest dla cyberprzest?pców anga?owanie si? w kampanie reklamowe. Z?o?liwe oprogramowanie stwarza jednak istotne zagro?enie dla u?ytkowników i firm, w tym:

• Kradzie? poufnych informacji – niektóre programy reklamowe, takie jak Gooligan, kradn? od ofiar poufne informacje, które mog? by? pó?niej sprzedawane osobom trzecim
• Rootowanie urz?dze? lub jailbreaking – z?o?liwe oprogramowanie cz?sto rootuje urz?dzenie lub przeprowadza tzw. jailbreaking (rootowanie oraz jailbreaking to ?amanie zabezpiecze? telefonu w celu uzyskania uprawnie? systemowych na telefonach z systemem Android oraz iOS), pokonuj?c w ten sposób wbudowane mechanizmy bezpiecze?stwa Androida lub iOS, pozostawiaj?c ofiary bezbronne nawet wobec najprostszych ataków hakerskich.
• Ewoluuj?ce ataki – osoby stoj?ce za kampaniami adware mog? kontynuowa? swoje ataki, rozprzestrzeniaj?c ró?ne rodzaje z?o?liwych programów na zrootowane/zjailbreakowane urz?dzenia, a tak?e u?y? ich do tworzenia ataków typu Denial of Service (ang. odmowa us?ugi).
• Dzielenie si? kodem ze spo?eczno?ci? hakerów – zaawansowane mo?liwo?ci opracowane przez twórców adware mog? zosta? wykorzystane przez innych programistów zajmuj?cych si? z?o?liwym oprogramowaniem i wykorzystane do pope?niania wi?kszych przest?pstw, o czym ?wiadczy chocia?by wyciek Vault 7.

Adware ma te? wp?yw na firmy

Z powy?szych powodów adware taki jak CopyCat stwarza zagro?enie zarówno dla prywatnych u?ytkowników jak i dla przedsi?biorstw. Osoby atakuj?ce nie potrzebuj? niczego wi?cej oprócz zainfekowanego urz?dzenia mobilnego po??czonego z sieci? firmow?, aby naruszy? bezpiecze?stwo sieci w firmie i uzyska? dost?p do poufnych danych. Urz?dzenia przeno?ne s? punktem dost?pu do Twojej sieci, podobnie jak ka?dy laptop, i wymagaj? takiego samego poziomu ochrony. Z?o?liwe oprogramowanie, które kradnie dane logowania do wra?liwych informacji lub rootuje urz?dzenia, nara?aj?c je na ataki, jest dok?adnie tym, czego szuka intruz, który chce przenikn?? do sieci firmowej.

Kto stoi za CopyCat?

Co zaskakuj?ce, kilka rodzin z?o?liwych oprogramowa? zosta?o opracowanych przez firmy zwi?zane z przemys?em reklamowym. Tak by?o w przypadku HummingBad i YiSpecter, opracowanych przez firm? Yingmob, a tak?e najnowszego przyk?adu adware, Judy, opracowanego przez Kiniwini. Nie jest jasne, kto stoi za atakiem CopyCat, jednak istnieje kilka powi?za? z MobiSummer, sieci? reklamow? z siedzib? w Chinach. Wa?ne jest, aby pami?ta?, ?e chocia? takie powi?zania istniej?, to niekoniecznie oznacza to, ?e ??z?o?liwe oprogramowanie zosta?o stworzone przez t? firm? – jest mo?liwe, ?e sprawcy u?ywali kodu i infrastruktury MobiSummer bez wiedzy firmy.

Pierwszym po??czeniem pomi?dzy firm? a z?o?liwym oprogramowaniem jest serwer, który obs?uguje zarówno dzia?ania wirusa, jak i niektóre dzia?ania MobiSummer. Ponadto cz??? kodu z?o?liwego oprogramowania jest podpisana przez sam? firm? MobiSummer, tak samo jak cz??? us?ug zdalnych, których u?ywa CopyCat. Co wi?cej, aplikacja unika atakowania chi?skich urz?dze? – fakt ten sugeruje, ?e autorami mog? by? Chi?czycy, którzy chc? unikn?? ?ledztwa prowadzonego przez lokalne organy ?cigania, co jest popularn? taktyk? w?ród hakerów na ca?ym ?wiecie.

Jaki jest zasi?g?

Badacze firmy Check Point sprawdzili jeden z serwerów Command & Control, który by? aktywny od kwietnia do maja 2016 i zarejestrowa? ponad 14 milionów zara?onych urz?dze?, spo?ród których 8 milionów zosta?o zrootowanych (54%). Fa?szywe reklamy by?y wy?wietlone na 3.8 miliona urz?dze? (26%), a 4.4 miliony urz?dze? (30%) wykorzystano do kradzie?y wynagrodzenia za instalacje aplikacji z Google Play. Serwer Command & Control mia? zapisane równie? informacje zebrane z zara?onych urz?dze?, w tym mark?, model, wersj? systemu operacyjnego oraz kraj. Eksperci z firmy Check Point s? przekonani, ?e istnieje wi?cej serwerów CopyCat, co oznacza, ?e liczba zara?onych urz?dze? mo?e by? du?o wi?ksza.

Dochód wygenerowany przez atakuj?cych szacuje si? na oko?o 1.5 miliona dolarów, w wi?kszo?ci osi?gni?ty w czasie dwóch miesi?cy. Prawie 100 milionów reklam wy?wietlonych przez oprogramowanie przynios?o dochód w wysoko?ci oko?o 120 tysi?cy dolarów. Poniewa? mo?emy okre?li? tylko ile urz?dze? za??da?o prowizji za instalacje niechcianych aplikacji, a nie ile razy taka czynno?? naprawd? mia?a miejsce, ostro?nie szacujemy, ?e na ka?dym urz?dzeniu nast?pi?o to tylko jeden raz. Nawet przy takich za?o?eniach zysk mo?na oszacowa? na ponad 660 000 dolarów. Najwi?ksze wp?ywy CopyCat przyniós? z instalacji niechcianych aplikacji: ponad 735 000 dolarów.

W jaki sposób dzia?a CopyCat?

Po zainstalowaniu, z?o?liwe oprogramowanie czeka w u?pieniu a? urz?dzenie zostanie uruchomione ponownie, dzi?ki czemu nie b?dzie mo?liwe po??czenie faktu zainstalowania aplikacji z jego aktywno?ci?. Gdy urz?dzenie zostanie zrestartowane, CopyCat pobiera paczk? “aktualizuj?c?” z S3, us?ugi hostuj?cej pliki Amazonu. Paczka ta zawiera sze?? popularnych exploitów, za pomoc? których wirus stara si? zrootowa? urz?dzenie. Je?eli si? to uda, CopyCat instaluje kolejny komponent w katalogu systemowym urz?dzenia (czynno?? ta wymaga uprawnie? roota), przez co staje si? bardzo trudny do usuni?cia.

Nast?pnie CopyCat wstrzykuje kod do procesu Zygote, z którego uruchamiane s? wszystkie aplikacje na Androidzie. Umo?liwia to ?ledzenie aktywno?ci wszystkich aplikacji w systemie. Jest to pierwszy wykryty  adware wykorzystuj?cy t? technik?, wcze?niej u?ywan? w z?o?liwym oprogramowaniu Triada.

W kolejnym kroku CopyCat wstrzykuje si? w proces system_server. Zawiera on wszystkie us?ugi systemu Android, takie jak mened?er telefonu, mened?er pakietów, mened?er aktywno?ci itp. CopyCat zaczyna nas?uchiwa? kilku typów zdarze? systemowych. Wykorzystuje on dwie techniki kradzie?y dochodów z reklam – wy?wietlanie fa?szywych reklam oraz kradzie? identyfikatora polecaj?cego dla aplikacji instalowanych z Google Play.

Wy?wietlanie fa?szywych reklam

W celu wy?wietlenia fa?szywych reklam, CopyCat u?ywa funkcji “callActivityOnStart” oraz “callActivityOnStop”, które s? uruchamiane za ka?dym razem, gdy dane zadanie jest uruchamiane na urz?dzeniu. Kiedy to nast?pi, z?o?liwe oprogramowanie sprawdza trzy rzeczy: czy u?ytkownik znajduje si? w Chinach, czy uruchomiona aplikacja jest jedn? z g?ównych aplikacji takich jak Facebook czy WhatsApp (aby zapobiec interferowania z nimi) oraz czy min?? odpowiedni czas od ostatniego wy?wietlenia reklamy. Je?eli ?aden z powy?szych warunków nie jest spe?niony, z?o?liwe oprogramowanie wy?wietla reklam? z bibliotek Facebooka, Admoba lub UC. Warunki te s?u?? u?pieniu podejrzliwo?ci u?ytkownika oraz ukryciu aplikacji, która jest ?ród?em wyskakuj?cych reklam.

Kradzie? kredytów za instalacj? aplikacji

Druga strategia jest jeszcze bardziej skomplikowana, jednocze?nie przynosz?c wi?cej zysków przest?pcom. Reklamodawcy p?ac? za wy?wietlenia reklam, które prowadz? do instalacji okre?lonych aplikacji. Istnieje kilka mobilnych platform analitycznych, które ?ledz? po??czenia tego typu. CopyCat wykorzystuje Tune, wiod?c? na ca?ym ?wiecie platform? dzia?aj?c? w celu nieuczciwego zarobku.

CopyCat pod??cza si? do “startActivityLockedStub” w procesie system_server i ?ledzi uruchomienia procesu Google Play. Po jego uruchomieniu, CopyCat pobiera nazw? paczki aplikacji ogl?danej przez u?ytkownika w Google Play i wysy?a j? do serwera Command & Control. Serwer odsy?a ID osoby polecaj?cej dla danej paczki. Identyfikator ten nale?y do twórców z?o?liwego oprogramowania i zostanie wykorzystany pó?niej, aby mie? pewno??, ?e dochód z instalacji trafi bezpo?rednio do nich.

CopyCat blokuje wszystkie wyst?pienia install_referrer i zast?puje je w?asnym ID polecaj?cego, który zosta? uprzednio pobrany z serwera C&C.

Instalowanie niechcianych aplikacji

CopyCat posiada tak?e oddzielny modu?, który instaluje niechciane aplikacje w zale?no?ci od swoich uprawnie? roota. Modu? ten dzia?a na bardzo niskim poziomie systemu Android, wykorzystuj?c mened?era paczek systemu Android. Mened?er paczek monitoruje okre?lone katalogi: /system/app oraz /data/app. Kiedy plik APK znajdzie si? w którym? z tych katalogów, mened?er instaluje go.

Z?o?liwe oprogramowanie wykorzystuje ten proces kopiuj?c pliki APK niechcianych aplikacji do katalogu /data/app, z którego mened?er zainstaluje je. CopyCat weryfikuje czy aplikacja zosta?a zainstalowana i zg?asza ten fakt do serwera Command & Control.