随着现在移动设备的快速发展,智能手机无疑是其中最大的宠儿。无论是从硬件配置还是操作系统方面都在高歌猛进中。智能手机市场也成为手机设备生产厂家的必争之地,这其中所蕴含的市场红利已经被众多厂商瓜分的所剩无几,可谓一片红海。然而在这片红海之外,一些黑客早就意识到了智能手机会是他们的下一个商机。
今年5月12日开始在全球蔓延的WannaCry勒索病毒已经席卷了至少150个国家的20万台电脑。病毒要求用户在被感染后的三天内交纳相当于300美元的比特币。无独有偶,近期Android设备也被一款名为CopyCat的病毒软件攻陷,当然这和电脑上的WannaCry并不是同种病毒,它所带来的威胁并不会像WannaCry那样‘变态’,但目的都是一个——‘money’。
要是放在十年前谁也不会想到自己的手机也会感染病毒,而最新研究发现,采用Android系统的1400万部移动设备已经被一款CopyCat的恶意软件攻陷。
Android系统上的CopyCat病毒从何而来,如何做最简单的规避?
这种恶意软件通过5个漏洞传播,这些安全漏洞主要存在于Android 5.0或更早版本的系统中,这些漏洞已在两年多以前被发现和修复。但是如果Android用户在第三方应用市场下载应用,他们仍然会受到攻击。
目前已感染CopyCat这一恶意软件的1400万部Android设备中,有800万台感染设备,也就是55%的感染设备在亚洲,这款恶意软件的绝大多数受害者来自印度、巴基斯坦、孟加拉国、印度尼西亚和缅甸。在加拿大,有超过38万部Android设备受到感染。美国也有28万台Android设备中招。
因此最为简单的规避方法就是避免在第三方应用市场下载应用。由于Android手机没有类似于苹果APP Store的唯一下载商店,Android设备可以在其他渠道或者途径获取相关APP,这种现象在中国大陆地区尤为明显。由于中国并不支持谷歌框架和其相关服务,因此在大陆几乎所有的应用都是来自于第三方应用商店。因此关于APP安全审核方面就会做的不尽人意,部分设备厂家内置的应用商店都是通过大数据审核以及人工审核来保障应用的安全性,即使这样也会有少量伪装者病毒混入其中,这其中就包括CopyCat。
谷歌表示,只要使用Play Protect软件,再老旧的Android设备也不会受到CopyCat的影响,因为Play Protect软件会定期更新。CopyCat的受害者数量在2016年4月到5月期间达到顶峰,自从谷歌将它列入Play Protect的黑名单之后,受害者数量的增长速度就减慢了。
因此想要避免被CopyCat所感染,需要使用者提高自身安全意识,不下载未知来源的软件,使用一些安全性比较高的国内应用商店,比如说腾讯的应用宝,360的软件商店等等。
同时下载更新使用谷歌Play Protect软件从根本上切断CopyCat。
知己知彼,CopyCat的工作原理几何?
CopyCat正如其名一样,是通过假冒其他流行应用来欺骗用户的。一旦用户下载了这种假冒的恶意应用软件,它就会收集受感染设备的数据,下载ROOT工具来ROOT受感染的设备,从而切断其安全系统。
然后,CopyCat就可以下载各种虚假应用,劫持受感染设备的应用启动程序Zygote。一旦它控制住Zygote,它就能知道你下载过哪些新的应用程序以及你打开的每一款应用程序。
CopyCat可以用它自己的推荐者ID(Referrer ID)来替换受感染设备上的每一款应用程序的推荐者ID,这样在应用程序上弹出的每一个广告都会为黑客创造收益,而不是为应用开发者创造广告收益。每隔一段时间,CopyCat还会发布自己的广告来增加收入。
Check Point估计,现在已有近490万个虚假应用被安装到受感染的设备上,它们能够显示1亿条广告。仅仅两个月,CopyCat就会黑客赚到了150万美元的广告收入。
虽然CopyCat并不会像WannaCry一样恶意加密用户资料,以删除资料威胁用户缴纳赎金,但是CopyCat强制获取用户设备的最高权限(ROOT)后,可以进行任意操作,使得用户信息泄露,设备安全受到了极大威胁。同时其主动下载的各种虚假应用会占用设备的绝大部分性能,使得使用者的设备变得卡顿,推送各种广告也会严重影响用户正常使用。
最后要提醒大家重视移动设备安全,避免成为一些黑客的“肉鸡”。尽量不去下载未知来源的软件,及时更新安全漏洞。
