Der Sicherheitsanbieter CheckPoint hat eine neue Variante der Android-Malware CopyCat analysiert. Der Schädling soll mehr als 14 Millionen Android-Geräte weltweit infiziert haben. Er ist demnach in der Lage, sich Root-Rechte zu verschaffen und die Kontrolle über legitime Apps zu übernehmen, um die damit generierten Werbeeinnahmen umzuleiten.
Die Malware nutzt Exploits für mehrere bereits seit Jahren bekannte Schwachstellen in Android, darunter auch Towelroot. Als Folge sind ausschließlich Geräte mit Android 5.0 Lollipop und früher betroffen. Laut Googles eigener Statistik zur Verteilung der Android-Versionen kommen Android Lollipop, KitKat und früher auf einen gemeinsamen Marktanteil von 59,3 Prozent.
CheckPoint betont, dass es keinerlei Hinweise darauf gibt, dass die Malware über den Play Store verteilt wird. Google verfolge die Aktivitäten von CopyCat seit zwei Jahren und habe seine Sicherheitsfunktion Play Protect aktualisiert, die die Malware und damit infizierte Apps blockieren.
Um Nutzer trotzdem zur Installation von CopyCat zu bewegen, verstecken die Hintermänner den Schadcode in gefälschten Kopien beliebter Apps. Wird ein solche App installiert, sammelt CopyCat Daten über das infizierte Gerät und lädt ein Rootkit herunter, um Root-Rechte zu erhalten und damit verbunden auch alle Sicherheitsvorkehrungen von Googles Mobilbetriebssystem auszuhebeln.
Nach der Installation des Rootkits übernimmt CopyCat auch die Kontrolle über den Hintergrunddienst Zygote, der für den Start jeglicher Apps verantwortlich ist. Als Folge kennt die Malware nun alle installierten und geöffneten Apps. Da sie zudem die Referrer-ID einer App durch die eigene ersetzen kann, erhalten die Cyberkriminellen auch alle mit den legitimen Apps generierten Werbeeinnahmen. CheckPoint schätzt, dass CopyCat seinen Hintermännern in nur zwei Monaten 1,5 Millionen Dollar eingebracht hat.
Zur Herkunft der Hintermänner ist bisher nichts bekannt. CheckPoint vermutet sie jedoch in China. Darauf weise ein von CopyCat benutzter Server hin, der auch vom chinesischen Anzeigennetzwerk MobiSummer verwendet werde. Außerdem prüfe die Malware, ob sich ein infiziertes Gerät in China befinde – gegen chinesische Geräte gehe CopyCat nämlich nicht vor. Möglicherweise versuchten die Hintermänner aber auch nur, Ärger mit chinesischen Behörden zu vermeiden.
Die meisten infizierten Geräte fand CheckPoint in Asien. 12 Prozent der Infektionen betreffen Nutzer in Nord- und Südamerika. Die geringste Verbreitung hat CopyCat in Europa.
Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.
[mit Material von Alfred Ng, News.com]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…
Die durchschnittliche Lösegeldzahlung liegt bei 2,5 Millionen Dollar. Acht Prozent der Befragten zählten 2023 mehr…
Eine neue Analyse der EU-Kommission sieht vor allem eine hohe Verbreitung von iPadOS bei Business-Nutzern.…
Das operative Ergebnis wächst um fast 6 Billionen Won auf 6,64 Billionen Won. Die Gewinne…
Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…
Die Vorfreude steigt, denn BAUMLINK wird als Partner und Aussteller bei der Tech Show 2024…
