Categories: SicherheitVirus

CopyCat: Android-Malware infiziert mehr als 14 Millionen Geräte weltweit

Der Sicherheitsanbieter CheckPoint hat eine neue Variante der Android-Malware CopyCat analysiert. Der Schädling soll mehr als 14 Millionen Android-Geräte weltweit infiziert haben. Er ist demnach in der Lage, sich Root-Rechte zu verschaffen und die Kontrolle über legitime Apps zu übernehmen, um die damit generierten Werbeeinnahmen umzuleiten.

Die Malware nutzt Exploits für mehrere bereits seit Jahren bekannte Schwachstellen in Android, darunter auch Towelroot. Als Folge sind ausschließlich Geräte mit Android 5.0 Lollipop und früher betroffen. Laut Googles eigener Statistik zur Verteilung der Android-Versionen kommen Android Lollipop, KitKat und früher auf einen gemeinsamen Marktanteil von 59,3 Prozent.

CopyCat hat vor allem Geräte in Asien befallen (Bild: CheckPoint).

CheckPoint betont, dass es keinerlei Hinweise darauf gibt, dass die Malware über den Play Store verteilt wird. Google verfolge die Aktivitäten von CopyCat seit zwei Jahren und habe seine Sicherheitsfunktion Play Protect aktualisiert, die die Malware und damit infizierte Apps blockieren.

CopyCat versteckt sich in Kopien beliebter Apps

Um Nutzer trotzdem zur Installation von CopyCat zu bewegen, verstecken die Hintermänner den Schadcode in gefälschten Kopien beliebter Apps. Wird ein solche App installiert, sammelt CopyCat Daten über das infizierte Gerät und lädt ein Rootkit herunter, um Root-Rechte zu erhalten und damit verbunden auch alle Sicherheitsvorkehrungen von Googles Mobilbetriebssystem auszuhebeln.

Nach der Installation des Rootkits übernimmt CopyCat auch die Kontrolle über den Hintergrunddienst Zygote, der für den Start jeglicher Apps verantwortlich ist. Als Folge kennt die Malware nun alle installierten und geöffneten Apps. Da sie zudem die Referrer-ID einer App durch die eigene ersetzen kann, erhalten die Cyberkriminellen auch alle mit den legitimen Apps generierten Werbeeinnahmen. CheckPoint schätzt, dass CopyCat seinen Hintermännern in nur zwei Monaten 1,5 Millionen Dollar eingebracht hat.

Zur Herkunft der Hintermänner ist bisher nichts bekannt. CheckPoint vermutet sie jedoch in China. Darauf weise ein von CopyCat benutzter Server hin, der auch vom chinesischen Anzeigennetzwerk MobiSummer verwendet werde. Außerdem prüfe die Malware, ob sich ein infiziertes Gerät in China befinde – gegen chinesische Geräte gehe CopyCat nämlich nicht vor. Möglicherweise versuchten die Hintermänner aber auch nur, Ärger mit chinesischen Behörden zu vermeiden.

Die meisten infizierten Geräte fand CheckPoint in Asien. 12 Prozent der Infektionen betreffen Nutzer in Nord- und Südamerika. Die geringste Verbreitung hat CopyCat in Europa.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

[mit Material von Alfred Ng, News.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

1 Tag ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago