Hoewel Google een hoop tijd en aandacht besteedt aan het beveiligen van het hun besturingssysteem Android, breekt af en toe nieuwe malware uit voor het mobiele platform. Momenteel verspreidt een nieuwe vorm zich snel, welke de naam ‘CopyCat’ heeft gekregen, en zijn zo’n 14 miljoen apparaten ermee geïnfecteerd. Hiervan zouden 8 miljoen zijn geroot, wat betekent dat de malware het complete beheer over toestellen heeft. Met frauduleuze advertenties zouden de ontwikkelaars al zo’n 1,3 miljoen euro hebben buitgemaakt.

De malware, welke door beveiligingsexperts van Check Point ‘CopyCat’ wordt genoemd, infecteert toestellen om geld via advertenties te kunnen verdienen. Een groot deel van de infecties vonden plaats in Zuidoost-Azië, maar ook zo’n 318.000 Android-gebruikers in Canada en 280.000 in de Verenigde Staten kregen te maken met de advertentiemalware. Voor de infectie kunnen vijf kwetsbaarheden in Android 5.0 worden misbruikt.

Verspreiding via populaire applicaties

CopyCat wordt door de ontwikkelaars voornamelijk via malafide applicaties verspreidt. Dit wordt gedaan door populaire applicaties te infecteren en vervolgens via applicatiewinkels van derden te verspreiden. Diverse bronnen melden dat Google reeds twee jaar op de hoogte zou zijn van de malware. Het bedrijf heeft de vijf kwetsbaarheden inmiddels gedicht, maar gebruikers van oudere Android-versies zijn nog altijd kwetsbaar. Het is daarom af te raden om applicaties via applicatiewinkels van derden te downloaden.

Check Point geeft in zijn onderzoeksrapport aan dat het hoogtepunt van de infecties plaatsvond tussen april en mei 2016. Naast digitale applicatiewinkels vond verspreiding ook plaats via phishingaanvallen. Het beveiligingsbedrijf laat verder weten aan dat er geen bewijs is dat de advertentiemalware werd verspreid via Google Play, de officiële applicatiewinkel van Google.

Wie zit er achter CopyCat?

Het is nog onduidelijk wie er achter de digitale aanval zit, maar er zijn diverse verwijzingen naar MobiSummer. Dit is een advertentienetwerk dat in China is gevestigd. Dit wil echter niet zeggen dat het bedrijf ook meteen direct voor de malware verantwoordelijk is, de daders kunnen namelijk ook de infrastructuur en broncode van MobiSummer hebben misbruikt zonder dat de organisatie hiervan op de hoogte was.

Een server met daarop de malware zou worden gebruikt voor bedrijfsactiviteiten van het Chinese advertentieplatform. Ook zouden diverse lijnen broncode van de CopyCat-malware zijn ondertekend door de organisatie.

Hoe werkt de advertentiemalware?

Een opvallend detail is dat CopyCat drie voorwaarden kent, welke ervoor zullen zorgen dat gebruikers geen advertenties te zien zullen krijgen. Om te beginnen wordt achterhaald of de telefooneigenaar zich in China bevindt. Ook wordt gecontroleerd of een applicatie uit een voorgeprogrammeerde lijst van grote applicaties is gestart, zoals bijvoorbeeld Facebook of WhatsApp, vermoedelijk om te voorkomen dat het hiermee conflicteert. Tot slot wordt berekend of de tijd sinds de laatste advertentie te kort is. Als geen van deze voorwaarden voldoen, zal een advertentie worden geserveerd. Zo blijft de kans op achterdocht bij de gebruiker klein.

Het feit dat CopyCat Chinese gebruikers met rust laat is een interessant detail. Volgens Check Point komt dit mogelijk doordat de ontwikkelaars willen vermijden dat een landelijk politieonderzoek tegen hen wordt gestart.

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.