CopyCat: Android-Malware infiziert mehr als 14 Millionen Geräte weltweit

Betroffen sind Smartphones und Tablets mit Android 5 und früher. CopyCat nutzt fünf zum Teil mehrere Jahre alte Sicherheitslücken. Es verschafft sich Root-Rechte und manipuliert die Werbe-ID legitimer Apps. Die Werbeeinnahmen fließen so auf das Konto der Hintermänner.

Der Sicherheitsanbieter CheckPoint hat eine neue Variante der Android-Malware CopyCat analysiert. Der Schädling soll mehr als 14 Millionen Android-Geräte weltweit infiziert haben. Er ist demnach in der Lage, sich Root-Rechte zu verschaffen und die Kontrolle über legitime Apps zu übernehmen, um die damit generierten Werbeeinnahmen umzuleiten.

Die Malware nutzt Exploits für mehrere bereits seit Jahren bekannte Schwachstellen in Android, darunter auch Towelroot. Als Folge sind ausschließlich Geräte mit Android 5.0 Lollipop und früher betroffen. Laut Googles eigener Statistik zur Verteilung der Android-Versionen kommen Android Lollipop, KitKat und früher auf einen gemeinsamen Marktanteil von 59,3 Prozent.

CopyCat hat vor allem Geräte in Asien befallen (Bild: CheckPoint).CopyCat hat vor allem Geräte in Asien befallen (Bild: CheckPoint).

CheckPoint betont, dass es keinerlei Hinweise darauf gibt, dass die Malware über den Play Store verteilt wird. Google verfolge die Aktivitäten von CopyCat seit zwei Jahren und habe seine Sicherheitsfunktion Play Protect aktualisiert, die die Malware und damit infizierte Apps blockieren.

CopyCat versteckt sich in Kopien beliebter Apps

Um Nutzer trotzdem zur Installation von CopyCat zu bewegen, verstecken die Hintermänner den Schadcode in gefälschten Kopien beliebter Apps. Wird ein solche App installiert, sammelt CopyCat Daten über das infizierte Gerät und lädt ein Rootkit herunter, um Root-Rechte zu erhalten und damit verbunden auch alle Sicherheitsvorkehrungen von Googles Mobilbetriebssystem auszuhebeln.

Nach der Installation des Rootkits übernimmt CopyCat auch die Kontrolle über den Hintergrunddienst Zygote, der für den Start jeglicher Apps verantwortlich ist. Als Folge kennt die Malware nun alle installierten und geöffneten Apps. Da sie zudem die Referrer-ID einer App durch die eigene ersetzen kann, erhalten die Cyberkriminellen auch alle mit den legitimen Apps generierten Werbeeinnahmen. CheckPoint schätzt, dass CopyCat seinen Hintermännern in nur zwei Monaten 1,5 Millionen Dollar eingebracht hat.

Zur Herkunft der Hintermänner ist bisher nichts bekannt. CheckPoint vermutet sie jedoch in China. Darauf weise ein von CopyCat benutzter Server hin, der auch vom chinesischen Anzeigennetzwerk MobiSummer verwendet werde. Außerdem prüfe die Malware, ob sich ein infiziertes Gerät in China befinde – gegen chinesische Geräte gehe CopyCat nämlich nicht vor. Möglicherweise versuchten die Hintermänner aber auch nur, Ärger mit chinesischen Behörden zu vermeiden.

Die meisten infizierten Geräte fand CheckPoint in Asien. 12 Prozent der Infektionen betreffen Nutzer in Nord- und Südamerika. Die geringste Verbreitung hat CopyCat in Europa.

HIGHLIGHT

Wettbewerbsvorteile durch effizienten Kundenservice

Telefonieren Sie noch oder skypen Sie schon, lautete einmal ein einprägsamer Werbespruch, der einfach zum Ausdruck brachte, dass eine ältere Technologie von etwas Besserem ersetzt wird. Das Gleiche gilt für die Kommunikation mit Kunden. Nutzen Sie schon Communication Enabled Business Processes (CEBP) oder warten Sie, bis der Wettbewerb Sie überholt

[mit Material von Alfred Ng, News.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Android, Checkpoint, Malware, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu CopyCat: Android-Malware infiziert mehr als 14 Millionen Geräte weltweit

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *