El virus generó de millones de dólares al infectar a millones de teléfonos con apps falsos para producir ingresos a través de anuncios fraudulentos.
El malware CopyCat ha mostrado y presumido de sus garras.
Una nueva cepa de un malware llamado CopyCat ha infectado a más de 14 millones de dispositivos Android alrededor del mundo, al rootear los teléfonos (obtener control privilegiado del dispositivo) y tomar de rehenes a los para generar millones de dólares en ingresos por anuncios fraudulentos, según dijeron investigadores de Check Point el jueves.
Aunque la mayoría de las víctimas está concentrada en Asia, más de 280,000 dispositivos Android en Estados Unidos fueron afectados por este masivo ciberataque. Google había estado rastreando este malware en los últimos dos años, y ha actualizado Play Protect para bloquear CopyCat, pero millones de víctimas están siendo afectadas a través de descargas de apps de terceros y ataques de phishing.
No existe ninguna evidencia de que CopyCat se esparció en Google Play, de acuerdo con Check Point.
«Play Protect protege a los usuarios de la familia, y los apps que hayan sido infectados con CopyCat no fueron distribuidos a través de Play», dijo Google en una declaración enviada a través de correo electrónico.
CopyCat pretende ser un popular app que se puede descargar de tiendas externas, como SimSimi, que tiene más de 50 millones de descargas en Google Play. Una vez que se descarga, CopyCat recoge datos del dispositivo infectado, y descarga kits para rootear el teléfono y desconectar el sistema de seguridad.
De allí, CopyCat puede descargar apps falsos, así como tomar de rehén al Zygote de tu dispositivo (Zygote es el launcher de todos los apps de tu teléfono Android). Una vez que obtiene el control del launcher, el malware detecta cada nuevo app que has descargado así como cada app que has abierto.
CopyCat es capaz de reemplazar el referrer ID (identificador de referencia) de tus apps con su propio código, por lo que cada anuncio que emerge en el app enviará los ingresos a los hackers en lugar de a los creadores del app. Y, de vez en cuando, CopyCat muestra anuncios hechos por sí mismo para obtener dinero extra.
Se han instalado casi 4.9 millones de apps falsos en dispositivos infectados, y se han mostrado hasta 100 millones de anuncios. En sólo dos meses, CopyCat cosechó más de US$1.5 millones para loshackers, según Check Point.
El malware también se encarga de ver si el dispositivo infectado está en China. Las víctimas en China están exentas del ciberataque porque, según creen los investigadores de Check Point, los cibercriminales son chinos y tratan de evitar cualquier investigación policiaca.
Aunque no ha habido evidencia directa de quién está detrás del ataque, se han establecido varias conexiones entre CopyCat y la red de anuncios china MobiSummer. El malware y la compañía de anuncios operan en el mismo servidor, y varias líneas en el código del virus tiene la firma de MobiSummer. Los dos también usan los mismos servicios remotos.
La mayoría de las víctimas se encuentran en India, Paquistán, Bangladesh, Indonesia y Myanmar. Más de 381,000 dispositivos en Canadá fueron infectados por CopyCat.
El malware se esparció gracias a cinco vulnerabilidades de dispositivos que ejecutan Android 5.0 y versiones anteriores, y que se han descubierto y solucionado hace más de dos años. Los usuarios de Android con dispositivos más viejos son vulnerables al ataque si es que están descargando apps de empresas externas.
«Estas antiguas vulnerabilidades son aún efectivas porque los usuarios actualizan sus dispositivos con poca frecuencia, o no lo hacen del todo», dijo Check Point.
Google dice que los dispositivos más antiguos pueden protegerse de CopyCat con el uso de Play Protect, que se actualiza con frecuencia a medida que un malware como CopyCat sigue creciendo.
El ataque alcanzó su mayor número de víctimas entre abril y mayo de 2016, y la infección se ha ralentizado desde que Google lo colocó en Play Protect. Sin embargo, Check Point cree que los dispositivos infectados podrían seguir sufriendo de los estragos del malware.
Vía: cnet