Malware nghi của Trung Quốc đã kiếm được hàng triệu USD thông qua cơ chế giả mạo hàng loạt ứng dụng, nhằm “lừa” các thiết bị Android cài đặt từ Google Play
Theo các kĩ sư của Check Point, mã độc mới có tên gọi CopyCat hiện tại đã ảnh hưởng đến tổng số 14 triệu thiết bị trên toàn cầu bằng cách tự động root, hack ứng dụng để kiếm doanh thu thông qua quảng cáo.
Đa phần nạn nhân đều ở Châu Á, và còn có đến hơn 280.000 thiết bị Android tại Mỹ cũng bị tác động. Google đã dò theo dấu vết trong 2 năm qua, đồng thời nâng cấp Play Protect để chống trả nhưng hàng triệu thiết bị vẫn sập bẫy khi tải các ứng dụng từ bên thứ ba.
Tuy nhiên theo như Check Point cho biết, mã độc hiện tại chỉ lây nhiễm khi cài ứng dụng, và không có bằng chứng về việc đã phát tán trên Google Play. Tên gọi cũng đã miêu tả phần nào cơ chế hoạt động: CopyCat sẽ làm giả các ứng dụng phổ biến, tiếp đến chỉ cần đợi người dùng tải về và tiến hành thu thập dữ liệu, tự động tải xuống rootkit để root smartphone và chặn luôn hệ thống bảo mật
Tiếp đến, CopyCat sẽ tải về hijack Zygote laucher để nắm toàn bộ ứng dụng đã cài đặt cũng như người dùng thường xuyên sử dụng. CopyCat có thể thay thế Referrer ID trên ứng dụng khác bằng của mình, vì vậy mọi quảng cáo hiện trên các app đều sẽ qquy về doanh thu cho hacker thay vì nhà phát triển phần mềm.
Ước tính chỉ trong 2 tháng, CopyCat đã giúp hacker thu về hơn 1,5 triệu USD tiền quảng cáo thông qua các ứng dụng. Hiện tại đã có một vài kết nối giữa CopyCat và mạng quảng cáo MobiSummer của Trung Quốc, tuy nhiên vẫn chưa có bằng chứng về ai đứng sau cuộc tấn công. Cả Malware lẫn công ty nêu trên đều cùng một máy chủ, và một số dòng code trong đoạn mã của virus còn được dùng bởi chính MobiSummer.
Nạn nhân hiện nay chủ yếu thuộc Ấn Độ, Pakistan, Bangladesh, Indonesia và Myanmar. CopyCat đã từng bị phát hiện và khắc phục cách đây hơn 2 năm từ 5 lỗ hổng trên smartphone Android 5.0 trở về truớc.
Theo FPTShop
