จากรายงานของทาง Check Point พบ malware ที่ติดเครื่อง Android ไปถึง 14 ล้านเครื่อง โดย malware ดังกล่าวมีชื่อว่า CopyCat

CopyCat เป็น Malware ที่มีความสามารถในการ root เครื่อง ฝังอยู่ในเครื่องและ inject code อันตรายเข้าไปใน Zygote ซึ่งเป็นตัว service ที่จัดการเกี่ยวกับการเปิด App ใดๆบน Android ทำให้ Hacker เข้าถึงสิทธิ์ต่างๆของเครื่องได้เต็มที่

จากการวิเคราะห์ของ CopyCat พบว่ามีเครื่องที่ติด malware ตัวไปแล้วประมาณ 14 ล้านเครื่องและมี 8 ล้านเครื่องที่เป็นเครื่องที่ root, มีเครื่อง 3.8 ล้านดครื่องที่จะได้รับโฆษณาแปลกๆและมี 4.4 ล้านเครื่าองที่ถูกขโมย credit เพื่อใช้สำหรับการติดตั้ง application จาก Google Play

เหยื่อส่วนใหญ่ที่ติด Malware CopyCat จะเป็นเครื่องที่อยู่ในเอเชียตะวันออกและเอเชียตะวันออกเฉียงใต้ ซึ่งประเทศที่ติดเยอะสุดคือ India และมีเครื่องใน US ติดประมาณ 2.80 แสนเครื่อง

ยังไม่มีหลักฐานว่า CopyCat กระจายตัวผ่าน Google Play Store แต่อย่างใด ทาง Check Point เชื่อว่าเครื่องส่วนใหญ่ที่ติดน่าจะมาจากการติดตั้ง Third Party Application มากกว่า

CopyCat มีการใช้การโจมตีช่องโหว่มากมายไม่ว่าจะเป็น CVE-2013-6282 (VROOT), CVE-2015-3636 (PingPongRoot), และ CVE-2014-3153 (Towelroot) เพื่อใช้ในการโจมตี Android 5.0 และเก่ากว่านั้น ซึ่งมีการใช้งานเยอะและเก่า

เมื่อติดตั้งได้สำเร็จ Malware จะเริ่มเก็บข้อมูลเครื่องเหยื่อและ download rootlet เพื่อทำการ root เครื่องเหยื่อ หลังจาก root เครื่องแล้ว CopyCat จะทำการนำเอา security defense ใดๆออกจากเครื่อง และทำการฝัง code เข้าไปในส่วน Zygote เพื่อจะให้เข้าคลุม process ของ application ใดๆทั้งหมด จากนั้นก็จะฝังโฆษณาใน process ต่างๆ อีกทั้งยังมีการติดตั้ง app สำหรับการหาเงินเพิ่มเติมอีกด้วย จาก 2 เดือนที่ผ่านมาคนที่สร้าง CopyCat ได้เงินไปแล้วถึง $1.5 ล้าน

นอกจากนี้ Check Point ยังพบความเคลื่อนไหวในการระบาด CopyCat ใน network ของจีนอีกด้วย​

Source:: TheHackerNews