Copy Cat: Android-Malware hat bereits 14 Million Endgeräte infiziert

Größte Angriffswellen bereits im April und Mai 2016

[datensicherheit.de, 10.07.2017] Check Point® Software Technologies Ltd. untersucht die Android-Malware „Copy Cat“ und veröffentlicht in einem detaillierten Bericht, wie der Schädling 14 Millionen Geräte infizieren konnte. Die Schadsoftware ist immer noch aktiv, allerdings wurden die größten Angriffswellen bereits im April und Mai 2016 erkannt und sind seitdem rückläufig.

Schädling ist gut durchdacht und nutzt mehrere Exploits

Auf Basis der verfügbaren Daten gehen die Sicherheitsforscher davon aus, dass die Angreifer 1,5 Millionen US-Dollar Umsatz mit Copy Cat gemacht haben, den Großteil davon in den oben beschriebenen zwei Monaten. Der Schädling ist gut durchdacht und nutzt gleich mehrere Exploits. Der Schadcode wird wie bei der Triada-Malware in Zygote eingeschleust. Die Daemon steuert auf Android-Systemen die Applikationsverwaltung und nach einem Befall mit dem Schadcode ist das Endgerät des Opfers nahezu wehrlos.

Copy Cat versucht zunächst das Gerät zu administrative Zugriffsrechte zu erhalten. Der eingesetzte Schadcode entspricht dem Stand der Technik, trotzdem konnte der Schädling über 54 Prozent (ca. 8 Millionen) aller infizierten Geräte erfolgreich übernehmen. Die Anzahl der erfolgreichen Übernahmen des Systemkerns ist überdurchschnittlich hoch, besonders da für aktuelle Android-Versionen seit einiger Zeit Patches verfügbar sind.

„Immer noch infizieren sich User durch eigentlich schon längst geschlossene Schwachstellen. Unternehmen und Anwender sind zu sorglos beim Umgang mit dem Risiko und sollten Vorkehrungen treffen“, sagt Dietmar Schnabel, Regional Director Central Europe bei Check Point Software Technologies GmbH. „Mobilgeräte sind angreifbar und genau deshalb müssen Sicherheitspolicies eingehalten werden. Neben Patch-Management sollten Schutzmechanismen zur Abwehr von Malware speziell für Mobilgeräte genutzt werden.“

Copy Cat kann Apps auf infizierten Geräten installieren und dabei die ursprüngliche Downloadreferenz manipulieren. Dadurch verbuchen die Angreifer falsche App-Downloads für sich und generieren so Umsätze. Weiter ist die Malware in der Lage, Werbebanner per Pop-up auf den Bildschirm zu auszuführen, um Klicks zu generieren. Zusätzlich kann ein weiteres Modul der Schadsoftware weitere verseuchte Applikationen auf dem Device installieren.

Über die Hintermänner ist nichts gesichertes bekannt. Es gibt Indizien, die für eine Verbindung zu MobiSummer sprechen. Es ist aber nicht sicher, wie das chinesische Werbenetzwerk mit Copy Cat in Verbindung steht. Zwar gibt es eine Verbindung zwischen dem Unternehmen und dem Code des Schädlings. Dies könnte aber auch ohne das Wissen von MobiSummer eingesetzt worden sein.

Weitere Informationen zum Thema:

datensicherheit.de, 20.12.2011
lookout MOBILE SECURITY benennt sechs Trends mobiler Malware für 2012