CopyCat malware besmet 14 miljoen Android apparaten
Een nieuwe malware variant blijkt maar liefst 14 miljoen Android apparaten te hebben besmet. Het gaat om de malware CopyCat, die adware injecteert in getroffen mobiele apparaten.
Dit maakt Check Point Software Technologies bekend in een blogpost. CopyCat werd in maart voor het eerst ontdekt, nadat een zakelijke klant van Check Point met de malware werd geconfronteerd. Analyse van de malware wijst echter uit dat de malware al langer actief is en tussen april en mei 2016 zijn hoogtepunt bereikte.
Uitgebreide functionaliteiten
CopyCat is malware met uitgebreide functionaliteiten, waaronder het rooten van apparaten en het ‘persistent’ maken van de malware, waarbij de malware dusdanig stevig op het systeem wordt verankerd dat deze ook na het formatteren van het systeem aanwezig blijft. Daarnaast is de malware in staat code te injecteren in Zygote, een daemon die op Android wordt gebruikt om apps te lanceren. Deze laatste functionaliteit geeft de malware de mogelijkheid alle activiteit op het besmette apparaat aan te sturen.
In totaal heeft de malware naar schatting 14 miljoen Android apparaten besmet. 8 miljoen van deze apparaten zijn door de malware geroot en werden op 3,8 miljoen apparaten frauduleuze advertenties getoond. Ook zijn 4,9 miljoen apps door de malware geïnstalleerd. Daarnaast is van 4,4 miljoen dollar krediet gestolen om apps te kunnen installeren uit Google Play. Daarnaast is informatie over besmette systemen verzameld, waaronder het merk van het apparaat, versie van het besturingssysteem en land waarin het apparaat wordt gebruikt.
Slechts één C&C server onderzocht
De onderzoekers merken op slechts één van de Command and Control (C&C) servers van CopyCat te hebben geanalyseerd. Check Point verwacht echter dat er meer C&C servers zijn, wat het mogelijk maakt dat het totaal aantal besmettingen door CopyCat in werkelijkheid hoger ligt.
De app heeft zijn makers naar schatting zo’n 1,5 miljoen dollar opgeleverd, waarvan het overgrote deel in een periode van slechts twee maanden is gegenereerd. Het grootste deel van deze inkomsten zou zijn gegenereerd met het installeren van frauduleuze apps op besmette systemen, waarvoor krediet van de apparaten is gestolen. Dit heeft naar schatting 735.000 dollar opgeleverd.
Chinese gebruikers worden ontzien
Opvallend is dat de malware controleert of gebruikers zich in China bevinden. Indien dit het geval is, wordt het apparaat niet besmet. Check Point vermoedt op basis hiervan dat de aanvallers uit China komen en met deze werkwijze proberen te voorkomen dat de Chinese politie een onderzoek start naar de malware.
Meer over
Lees ook
Proofpoint ziet mobiele malware met 500% toenemen in Europa
Vanaf begin februari dit jaar hebben onderzoekers van Proofpoint het aantal pogingen om mobiele malware te verspreiden met 500% zien stijgen in Europa. Dit is in overeenstemming met de trend van de afgelopen jaren, waarbij aanvallers steeds vaker smishing (SMS-phishing)-aanvallen uitvoeren en malware verspreiden naar mobiele apparaten. Alleen al i1
FortiGuard Labs: ransomware wordt steeds agressiever en verwoestender
Fortinet, wereldwijd leider in uitgebreide, geïntegreerde en geautomatiseerde oplossingen voor cyberbeveiliging, publiceert een nieuwe editie van zijn halfjaarlijkse FortiGuard Labs Global Threat Landscape Report. Bedreigingsinformatie die in de tweede helft van 2021 werd verzameld, wijst op een toename van het automatiseringsgehalte en de snelhei1
Proofpoint: TA2541 in vogelvlucht
TA2541 is een hardnekkige cybercriminele groep die verschillende remote access trojans (RAT's) verspreidt. De groep richt zich onder andere op de luchtvaart-, ruimtevaart-, transport- en defensiesector. Proofpoint heeft deze groep sinds 2017 gevolgd, en ontdekte dat de groep sindsdien dezelfde tactieken, technieken en procedures (TTP's) heeft gebr1