Der Sicherheitsanbieter CheckPoint hat eine neue Variante der Android-Malware CopyCat analysiert. Der Schädling soll mehr als 14 Millionen Android-Geräte weltweit infiziert haben. Er ist demnach in der Lage, sich Root-Rechte zu verschaffen und die Kontrolle über legitime Apps zu übernehmen, um die damit generierten Werbeeinnahmen umzuleiten.
Die Malware nutzt Exploits für mehrere bereits seit Jahren bekannte Schwachstellen in Android, darunter auch Towelroot. Als Folge sind ausschließlich Geräte mit Android 5.0 Lollipop und früher betroffen. Laut Googles eigener Statistik zur Verteilung der Android-Versionen kommen Android Lollipop, KitKat und früher auf einen gemeinsamen Marktanteil von 59,3 Prozent.
CopyCat hat vor allem Geräte in Asien befallen (Bild: CheckPoint).
CheckPoint betont, dass es keinerlei Hinweise darauf gibt, dass die Malware über den Play Store verteilt wird. Google verfolge die Aktivitäten von CopyCat seit zwei Jahren und habe seine Sicherheitsfunktion Play Protect aktualisiert, die die Malware und damit infizierte Apps blockieren.
CopyCat versteckt sich in Kopien beliebter Apps
Um Nutzer trotzdem zur Installation von CopyCat zu bewegen, verstecken die Hintermänner den Schadcode in gefälschten Kopien beliebter Apps. Wird ein solche App installiert, sammelt CopyCat Daten über das infizierte Gerät und lädt ein Rootkit herunter, um Root-Rechte zu erhalten und damit verbunden auch alle Sicherheitsvorkehrungen von Googles Mobilbetriebssystem auszuhebeln.
Nach der Installation des Rootkits übernimmt CopyCat auch die Kontrolle über den Hintergrunddienst Zygote, der für den Start jeglicher Apps verantwortlich ist. Als Folge kennt die Malware nun alle installierten und geöffneten Apps. Da sie zudem die Referrer-ID einer App durch die eigene ersetzen kann, erhalten die Cyberkriminellen auch alle mit den legitimen Apps generierten Werbeeinnahmen. CheckPoint schätzt, dass CopyCat seinen Hintermännern in nur zwei Monaten 1,5 Millionen Dollar eingebracht hat.
Zur Herkunft der Hintermänner ist bisher nichts bekannt. CheckPoint vermutet sie jedoch in China. Darauf weise ein von CopyCat benutzter Server hin, der auch vom chinesischen Anzeigennetzwerk MobiSummer verwendet werde. Außerdem prüfe die Malware, ob sich ein infiziertes Gerät in China befinde – gegen chinesische Geräte gehe CopyCat nämlich nicht vor. Möglicherweise versuchten die Hintermänner aber auch nur, Ärger mit chinesischen Behörden zu vermeiden.
Die meisten infizierten Geräte fand CheckPoint in Asien. 12 Prozent der Infektionen betreffen Nutzer in Nord- und Südamerika. Die geringste Verbreitung hat CopyCat in Europa.
Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?
Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.
[mit Material von Alfred Ng, News.com]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Neueste Kommentare
Noch keine Kommentare zu CopyCat: Android-Malware infiziert mehr als 14 Millionen Geräte weltweit
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.