I ricercatori di Check Point® Software Technologies Ltd, il più grande fornitore mondiale specializzato nel campo della sicurezza informatica, hanno scoperto un malware mobile che ha infettato 14 milioni di dispositivi Android, effettuando il root di circa 8 milioni di essi e facendo guadagnare agli hacker responsabili della campagna di circa 1,5 milioni di dollari in ricavi derivanti da annunci pubblicitari falsi in due mesi. Il malware, chiamato CopyCat dai ricercatori di Check Point, utilizza una nuova tecnica per generare e rubare i ricavi dagli annunci pubblicitari. CopyCat ha infettato gli utenti principalmente nell'Asia sudorientale e si è diffuso in oltre 280.000 dispositivi Android negli Stati Uniti.
CopyCat è un malware completamente sviluppato con diverse funzionalità, tra cui elevare i permessi di root, stabilire persistenza sui dispositivi e immettere codice malevolo all’interno di Zygote, ovvero il processo che fa da schema principale per i processi generati durante l'uso del dispositivo. I ricercatori hanno incontrato per la prima volta il malware quando ha attaccato i dispositivi in un'impresa protetta da Check Point SandBlast Mobile. Check Point ha recuperato informazioni dai server di comando e controllo del malware e ha condotto un'indagine completa del suo funzionamento interno, disponibile in questo rapporto tecnico. La campagna CopyCat ha raggiunto il suo picco tra aprile e maggio 2016.
I ricercatori di Check Point ritengono che la campagna sia stata diffusa tramite applicazioni popolari, riconfezionata con il malware e scaricata da app store di terze parti, così come attraverso il phishing. Non vi è stata alcuna evidenza che CopyCat sia stato distribuito sul Google Play, app store ufficiale di Google. Nel mese di marzo 2017, Check Point ha informato Google riguardo la campagna CopyCat e come funziona il malware. Secondo Google, sono stati in grado di sedare la campagna, e l'attuale numero di dispositivi infetti è di gran lunga inferiore a quello che era al momento del picco della campagna. Purtroppo, i dispositivi infettati da CopyCat possono ancora essere colpiti dal malware anche oggi.
CopyCat è una vasta campagna che ha infettato 14 milioni di dispositivi a livello globale, radicando 8 milioni di essi, in quello che i ricercatori descrivono come un tasso di successo senza precedenti. I ricercatori di Check Point stimano che il malware ha generato 1,5 milioni di dollari di introiti per il gruppo dietro la campagna. CopyCat utilizza la tecnologia state-of-the-art per condurre varie forme di frode, simili a precedenti malware scoperti da Check Point, come ad esempio Gooligan, DressCode, e Skinner. Dopo l'infezione, CopyCat dapprima effettua il root del dispositivo utente, permettendo agli aggressori di ottenere il pieno controllo del dispositivo, ed essenzialmente lasciando l'utilizzatore indifeso.
CopyCat poi inietta codice nel processo di lancio dell'app Zygote, permettendo agli aggressori di ricevere ricavi dal credito ottenuto per l'installazione di applicazioni in modo fraudolento sostituendo il vero referente ID con il proprio. Inoltre, CopyCat abusa del processo Zygote per visualizzare gli annunci fraudolenti, nascondendo la loro origine, il che rende difficile per gli utenti capire che cosa sta provocano la visualizzazione di annunci pop-up sui loro schermi. CopyCat installa anche applicazioni fraudolente direttamente sul dispositivo, utilizzando un modulo separato. Queste attività generano grandi quantità di profitti per i creatori di CopyCat, dato il gran numero di dispositivi infettati dal malware.
L'adware CopyCat crea rischi sia per gli utenti privati che per le aziende. Gli attaccanti hanno bisogno niente di più che di un dispositivo mobile compromesso collegato al network aziendale per violare la rete completa dell'azienda e ottenere l'accesso ai dati sensibili. I dispositivi mobili sono un endpoint della rete, proprio come qualsiasi computer portatile, e richiedono lo stesso livello di protezione. L'adware che ruba le credenziali alle informazioni sensibili, o dispositivi rootati e li lascia vulnerabili a qualsiasi tipo di attacco, sono esattamente quello che un hacker cerca per infiltrarsi in una rete aziendale. Per ulteriori informazioni e i dettagli tecnici di questa nuova campagna malware scoperta dai ricercatori di Check Point Software, è possibile consultare il blog post.
CopyCat poi inietta codice nel processo di lancio dell'app Zygote, permettendo agli aggressori di ricevere ricavi dal credito ottenuto per l'installazione di applicazioni in modo fraudolento sostituendo il vero referente ID con il proprio. Inoltre, CopyCat abusa del processo Zygote per visualizzare gli annunci fraudolenti, nascondendo la loro origine, il che rende difficile per gli utenti capire che cosa sta provocano la visualizzazione di annunci pop-up sui loro schermi. CopyCat installa anche applicazioni fraudolente direttamente sul dispositivo, utilizzando un modulo separato. Queste attività generano grandi quantità di profitti per i creatori di CopyCat, dato il gran numero di dispositivi infettati dal malware.
L'adware CopyCat crea rischi sia per gli utenti privati che per le aziende. Gli attaccanti hanno bisogno niente di più che di un dispositivo mobile compromesso collegato al network aziendale per violare la rete completa dell'azienda e ottenere l'accesso ai dati sensibili. I dispositivi mobili sono un endpoint della rete, proprio come qualsiasi computer portatile, e richiedono lo stesso livello di protezione. L'adware che ruba le credenziali alle informazioni sensibili, o dispositivi rootati e li lascia vulnerabili a qualsiasi tipo di attacco, sono esattamente quello che un hacker cerca per infiltrarsi in una rete aziendale. Per ulteriori informazioni e i dettagli tecnici di questa nuova campagna malware scoperta dai ricercatori di Check Point Software, è possibile consultare il blog post.
Nessun commento:
Posta un commento