14 miljoen Android apparaten besmet door CopyCat malware
Een nieuwe malware variant blijkt maar liefst 14 miljoen Android apparaten te hebben besmet. Het gaat om de malware CopyCat, die adware injecteert in getroffen mobiele apparaten.
Dit maakt Check Point Software Technologies bekend in een blogpost. CopyCat werd in maart voor het eerst ontdekt, nadat een zakelijke klant van Check Point met de malware werd geconfronteerd. Analyse van de malware wijst echter uit dat de malware al langer actief is en tussen april en mei 2016 zijn hoogtepunt bereikte.
Uitgebreide functionaliteiten
CopyCat is malware met uitgebreide functionaliteiten, waaronder het rooten van apparaten en het ‘persistent’ maken van de malware, waarbij de malware dusdanig stevig op het systeem wordt verankerd dat deze ook na het formatteren van het systeem aanwezig blijft. Daarnaast is de malware in staat code te injecteren in Zygote, een daemon die op Android wordt gebruikt om apps te lanceren. Deze laatste functionaliteit geeft de malware de mogelijkheid alle activiteit op het besmette apparaat aan te sturen.
In totaal heeft de malware naar schatting 14 miljoen Android apparaten besmet. 8 miljoen van deze apparaten zijn door de malware geroot en werden op 3,8 miljoen apparaten frauduleuze advertenties getoond. Ook zijn 4,9 miljoen apps door de malware geïnstalleerd. Daarnaast is van 4,4 miljoen dollar krediet gestolen om apps te kunnen installeren uit Google Play. Ook is informatie over besmette systemen verzameld, waaronder het merk van het apparaat, versie van het besturingssysteem en land waarin het apparaat wordt gebruikt.
Slechts één C&C server onderzocht
De onderzoekers merken op slechts één van de Command and Control (C&C) servers van CopyCat te hebben geanalyseerd. Check Point verwacht echter dat er meer C&C servers zijn, wat het mogelijk maakt dat het totaal aantal besmettingen door CopyCat in werkelijkheid hoger ligt.
De app heeft zijn makers naar schatting zo’n 1,5 miljoen dollar opgeleverd, waarvan het overgrote deel in een periode van slechts twee maanden is gegenereerd. Het grootste deel van deze inkomsten zou zijn gegenereerd met het installeren van frauduleuze apps op besmette systemen, waarvoor krediet van de apparaten is gestolen. Dit heeft naar schatting 735.000 dollar opgeleverd.
Chinese gebruikers worden ontzien
Opvallend is dat de malware controleert of gebruikers zich in China bevinden. Indien dit het geval is, wordt het apparaat niet besmet. Check Point vermoedt op basis hiervan dat de aanvallers uit China komen en met deze werkwijze proberen te voorkomen dat de Chinese politie een onderzoek start naar de malware.
Meer over
Lees ook
Proofpoint: Noord-Koreaanse hackers stelen miljarden aan cryptocurrency
TA444, een staatsgesponsorde hackersgroep uit Noord-Korea is waarschijnlijk belast met het genereren van inkomsten voor het Noord-Koreaanse regime. Deze aanvallen overlappen met APT38, Bluenoroff, BlackAlicanto, Stardust Chollima en COPERNICIUM. In het verleden waren de pijlen gericht op banken om uiteindelijk geld door te sluizen naar andere dele1
Onderzoek Venafi onthult bloeiende ransomware-marktplaats op het dark web
Venafi maakt de resultaten bekend van een dark web-onderzoek naar ransomware die via kwaadaardige macro's wordt verspreid. Venafi en Forensic Pathways, een specialist in criminele inlichtingen, hebben tussen november 2021 en maart 2022 35 miljoen dark web-URL's geanalyseerd van marktplaatsen en forums, met behulp van de Forensic Pathways Dark Sear1
Proofpoint: Cybercriminelen bereiden zich voor op een wereld zonder macro's
Microsoft kondigde in oktober 2021 en februari 2022 aan dat het XL4- en VBA-macro's standaard gaat blokkeren voor Office-gebruikers. De wijzigingen zijn uiteindelijk dit jaar van start gegaan. Cybercriminelen hebben hier op gereageerd door af te stappen van macro-gebaseerde aanvallen.