CheckPoint analysierte CopyCat
Wie zdnet.de unter Berufung auf den Sicherheitsanbieter CheckPoint berichtete, soll der Schädling, der eine neue Variante der Malware CopyCat darstellt, mehr als 14 Millionen Android-Geräte infiziert haben. Mittels der Übernahme von Rootrechten und der Kontrolle legitimer Apps war es möglich Werbeeinnahmen umzuleiten und abzuzapfen.
Die Schachstellen, die von der Malware ausgenutzt werden, darunter auch Towelroot, sollen bereits seit Jahren bekannt sein. So sind ausschließlich Geräte mit Android 5.0 Lollipop und früher betroffen. Laut Googles eigener Statistik zur Verteilung der Android-Versionen kommen Android Lollipop, KitKat und früher auf einen gemeinsamen Marktanteil von 59,3 Prozent.
Wie dazu von Google verlautet soll die Malware nicht über dessen PlayStore verteilt werden. Google verfolge die Aktivitäten von CopyCat seit zwei Jahren und habe seine Sicherheitsfunktion Play Protect aktualisiert, die die Malware und damit infizierte Apps blockieren.
Beliebte Apps als Versteck
Es sind immer wieder beliebte Apps, die Nutzer dazu verleiten sollen, auch gefälschte Kopien aus dubiosen Quellen herunterzuladen. Hier verbergen die Kriminellen dann den Schadcode. Mit diesem gelingt es dann mittels Rootkit Root-Rechte zu erhalten und alle Sicherheitsvorkehrungen von Googles Mobilbetriebssystem auszuhebeln.
Mit der Installation des Rootkits kann CopyCat auch den Hintergrunddienst Zygote, der für den Start jeglicher Apps verantwortlich ist, kontrollieren. Die Malware kann so alle installierten und geöffneten Apps erkennen. Mit der Möglichkeit, die Referrer-ID einer App durch die eigene zu ersetzen, greifen die Cyberkriminellen auch alle mit den legitimen Apps generierten Werbeeinnahmen ab.
Lukratives Geschäft
Für die Kriminellen stellt der Einsatz von CopyCat ein äußerst lukratives Geschäft dar. Laut den Experten von CheckPoint wurden in nur zwei Monaten 1,5 Millionen Dollar „erwirtschaftet“.
Die genaue Herkunft der Hintermänner ist nicht klar. Vermutet wird, dass die Angriffe ihren Ursprung in China haben, worauf ein von CopyCat benutzter Server hinweist, der auch vom chinesischen Anzeigennetzwerk MobiSummer verwendet werde. Außerdem prüfe die Malware, ob sich ein infiziertes Gerät in China befinde – gegen chinesische Geräte gehe CopyCat nämlich nicht vor. Möglicherweise versuchten die Hintermänner aber auch nur, Ärger mit chinesischen Behörden zu vermeiden.
Weiterführende Links:
checkpoint.com: How the CopyCat malware infected Android devices around the world
zdnet.de: CopyCat: Android-Malware infiziert mehr als 14 Millionen Geräte weltweit
