CopyCatと呼ばれる強力かつ急速に拡散するAndroidマルウェアが、1,400万台のAndroidデバイスに感染した。
CopyCatは主に広告収入を生み出し、盗むことを目的として設計されています。これは、感染したデバイスをルート化し、永続性を確立することで実現します。Androidオペレーティングシステムでアプリを起動するデーモンであるZygoteにコードを挿入することで、不正なアプリインストールのクレジットを取得し、収益を得ることが可能になります。彼らは、実際のリファラーIDを自身のIDに置き換えることでこれを実現します。
いったいこれらすべての広告はどこから来ているのでしょうか?
さらに、CopyCat は Zygote プロセスを悪用して不正な広告を表示しながらその出所を隠し、ユーザーがポップアップ攻撃を受けている理由を解明することを困難にしています。
CopyCatは、別のモジュールを使用して、不正アプリをデバイスに直接インストールします。このモバイルマルウェアは、感染したデバイスの54%以上をルート化することに成功しました。これは異例の高い数字ですが、これは5つのエクスプロイトを使用していることと、マルウェア全体の高度な技術によるものと考えられます。
チェック・ポイント・ソフトウェアの研究者は、顧客の企業にあるデバイスを攻撃した際にこのマルウェアに遭遇したと述べています。その後、チェック・ポイントのチームはマルウェアのコマンド&コントロールサーバーから情報を取得し、リバースエンジニアリング技術を用いてマルウェアの内部構造を解明しました。詳細はこちらのブログ記事をご覧ください。
チェック・ポイントの推計によると、このキャンペーンの背後にいる犯罪者は、4月と5月だけで偽の広告収入で最大150万ドルを得た可能性がある。これまでの被害者のほとんどは東南アジア出身だが、米国でも28万人以上の被害者が出ている。研究者らは、このキャンペーンは、人気アプリにマルウェアが組み込まれ、サードパーティのアプリストアからダウンロードされたり、フィッシング詐欺によって拡散したと推定している。CopyCatがGoogleの公式アプリストアであるGoogle Playで配布されたという証拠はない。
Check Pointはこの問題をGoogleに報告し、Googleは脅威を根絶はできなかったものの、鎮圧することに成功しました。CopyCat攻撃の背後にいる人物は不明ですが、Check Pointによると、中国にある広告ネットワークとの関連性がいくつか確認されています。このネットワークが攻撃自体と関連しているという示唆は今のところありません。
「このマルウェアは中国のデバイスをターゲットにしていないことから、マルウェアの開発者は中国人で、マルウェアの世界ではよくある戦術である地元の法執行機関による捜査を避けたいと考えていることが窺える」とチェック・ポイントは推測している。
CopyCat Android 詐欺フローチャート [出典: Check Point のブログ投稿]
Arxan Technologies の EMEA 担当副社長マーク・ノクター氏は、CopyCat マルウェアの拡散速度は、マルウェアを拡散する手段として、破損したアプリがいかに効果的であるかを示している、と述べた。
「人気のある正規アプリをリバースエンジニアリングすると、被害者がそのアプリをダウンロードする可能性が高くなるだけでなく、機能するクローンが作成されるため、被害者は自分のデバイスが侵害されたことに気付かず、攻撃者が継続的にデータを収集したり、他の人に感染させたりできるようになります」とノクター氏は述べた。
「サードパーティのソースを使ってアプリをダウンロードするのは明らかにリスクがあるにもかかわらず、この行為は依然として非常に一般的です。例えば、昨年の夏には、地域的な展開の遅れを先取りするために、多くのユーザーが不正なソースを使ってポケモンGOをダウンロードしていました」と彼は付け加えた。®
