Check Point 移動威脅研究人員指出，CopyCat采用一種新的技術來制造和竊取廣告收入。CopyCat 主要感染位于東南亞的用戶，但它也傳播至美國，感染了超過28萬名安卓設備用戶。

　　CopyCat是一款完全開發(fā)的惡意軟件，具有強大的功能，包括對設備獲取root權限，能持續(xù)進行攻擊，以及將代碼注入Zygote（Zygote負責在安卓操作系統(tǒng)中啟動應用程序），因此它可以控制設備上的任何活動。

　　CopyCat 是在意圖攻擊一家受Check Point SandBlast Mobile保護的企業(yè)時被發(fā)現，Check Point研究人員從這款惡意軟件的命令與控制服務器中檢索到信息，并且對其內部工作方式進行了完整的逆向操作工程，這些資料在其全面的技術報告 中有詳細介紹。

　　CopyCat攻擊在2016年4月和5月達到頂峰。研究人員相信此次大型攻擊是通過把惡意軟件與流行應用程序結合重新包裝，然后通過第三方應用商店進行散播，以及采用釣魚欺詐手段。目前沒有證據說明CopyCat是通過Google的官方應用商店Google Play進行發(fā)布。

　　2017年3月，Check Point向Google通報了CopyCat惡意軟件以及其操作方法。據Google介紹，他們可以應對這次攻擊，并且當前受感染的設備數量遠遠低于攻擊高峰時期。不幸的是，已經受到CopyCat惡意軟件感染的設備，至今仍然受到這款病毒的影響。

　　CopyCat惡意軟件感染全球1,400萬部設備，對其中約800萬部設備獲取了root權限，這被研究人員稱為是前所未有的攻擊成功率。研究人員也表示此惡意軟件為黑客創(chuàng)造了150萬美元的廣告收入。

　　CopyCat惡意軟件采用最新的技術來衍生出多種形式的廣告欺詐方式，與Check Point 之前發(fā)現的惡意軟件Gooligan , DressCode 和 Skinner 相似。一旦感染，CopyCat首先獲取用戶設備root權限，允許攻擊者完全控制設備，并且基本上致使用戶毫無辦法。

　　CopyCat將代碼注入Zygote應用程序啟動功能，允許攻擊者利用自己的ID來替換真正推薦人ID，從而獲得許可安裝欺詐性的應用程序來獲得收入。另外，CopyCat使得Zygote發(fā)布欺詐性的廣告而隱藏他們的真實來源，使得用戶難以理解為何這些廣告會在屏幕上彈出。CopyCat也使用單獨的模塊直接在設備上安裝欺詐性應用程序。CopyCat惡意軟件致使大規(guī)模的設備遭受感染，為背后的黑客聚斂巨額錢財。

　　Check Point研究人員調查了2016年4月到5月期間活躍的其中一臺命令與控制服務器，紀錄下超過1,400萬部受感染設備，其中800萬（54%）的設備已被獲取root權限。有380萬（26%）受感染設備顯示欺詐廣告，440萬設備或30%受感染設備的信用憑證被竊取，用于在Google Play上安裝應用程序。

　　攻擊者獲得的收益預計超出150萬美元，大部分都是在短短兩個月內賺到的。CopyCat 制造的近1億條惡意軟件廣告，總共產生利潤多達12萬美元。因為我們只能測量出多少設備感染上欺詐性安裝套利，而不知道該類活動發(fā)生的次數，只能保守估計每臺設備只執(zhí)行一次該類活動。如此計算，攻擊者從中賺到的利潤預計超過66萬美元。最大的收益來源是CopyCat騙取的490萬個欺詐性應用程序的安裝，從中產生多達73.5萬美元的利潤。

　　如CopyCat這般復雜的惡意軟件要求先進的防護手段，能夠通過靜態(tài)和動態(tài)的應用程序分析識別和封鎖零日惡意軟件的攻擊。只有在一個設備上監(jiān)測到惡意軟件的操作環(huán)境，才能制定策略，成功封鎖。用戶和企業(yè)應把移動設備視為網絡中的其它設備一樣對待，并通過最佳的網絡安全解決方案保護它們。

　　Check Point的用戶受到SandBlast Mobile的保護，網絡前端由Check Point Anti-Bot blade執(zhí)行防御，可以有效抵御帶有Trojan.AndroidOS.CopyCat簽名特征的CopyCat惡意軟件。

　　Check Point以色列捷邦安全軟件科技有限公司（www.checkpoint.com.cn）是全球最大的專注于安全的解決方案提供商，為各界客戶提供業(yè)界領先的解決方案抵御惡意軟件和各種威脅。Check Point提供全方位的安全解決方案包括從企業(yè)網絡到移動設備的安全保護，以及最全面和可視化的安全管理方案。Check Point現為十多萬不同規(guī)模的組織提供安全保護。