Der Sicherheitsanbieter CheckPoint hat eine neue Variante der Android-Malware CopyCat analysiert. Der Schädling soll mehr als 14 Millionen Android-Geräte weltweit infiziert haben. Er ist demnach in der Lage, sich Root-Rechte zu verschaffen und die Kontrolle über legitime Apps zu übernehmen, um die damit generierten Werbeeinnahmen umzuleiten.
Die Malware nutzt Exploits für mehrere bereits seit Jahren bekannte Schwachstellen in Android, darunter auch Towelroot. Als Folge sind ausschließlich Geräte mit Android 5.0 Lollipop und früher betroffen. Laut Googles eigener Statistik zur Verteilung der Android-Versionen kommen Android Lollipop, KitKat und früher auf einen gemeinsamen Marktanteil von 59,3 Prozent.
CheckPoint betont, dass es keinerlei Hinweise darauf gibt, dass die Malware über den Play Store verteilt wird. Google verfolge die Aktivitäten von CopyCat seit zwei Jahren und habe seine Sicherheitsfunktion Play Protect aktualisiert, die die Malware und damit infizierte Apps blockieren.
Um Nutzer trotzdem zur Installation von CopyCat zu bewegen, verstecken die Hintermänner den Schadcode in gefälschten Kopien beliebter Apps. Wird ein solche App installiert, sammelt CopyCat Daten über das infizierte Gerät und lädt ein Rootkit herunter, um Root-Rechte zu erhalten und damit verbunden auch alle Sicherheitsvorkehrungen von Googles Mobilbetriebssystem auszuhebeln.
Nach der Installation des Rootkits übernimmt CopyCat auch die Kontrolle über den Hintergrunddienst Zygote, der für den Start jeglicher Apps verantwortlich ist. Als Folge kennt die Malware nun alle installierten und geöffneten Apps. Da sie zudem die Referrer-ID einer App durch die eigene ersetzen kann, erhalten die Cyberkriminellen auch alle mit den legitimen Apps generierten Werbeeinnahmen. CheckPoint schätzt, dass CopyCat seinen Hintermännern in nur zwei Monaten 1,5 Millionen Dollar eingebracht hat.
Zur Herkunft der Hintermänner ist bisher nichts bekannt. CheckPoint vermutet sie jedoch in China. Darauf weise ein von CopyCat benutzter Server hin, der auch vom chinesischen Anzeigennetzwerk MobiSummer verwendet werde. Außerdem prüfe die Malware, ob sich ein infiziertes Gerät in China befinde – gegen chinesische Geräte gehe CopyCat nämlich nicht vor. Möglicherweise versuchten die Hintermänner aber auch nur, Ärger mit chinesischen Behörden zu vermeiden.
Die meisten infizierten Geräte fand CheckPoint in Asien. 12 Prozent der Infektionen betreffen Nutzer in Nord- und Südamerika. Die geringste Verbreitung hat CopyCat in Europa.
Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.
[mit Material von Alfred Ng, News.com]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
