Mã độc CopyCat lây nhiễm hơn 14 triệu thiết bị Android

Mã độc CopyCat được phát hiện lây nhiễm hơn 14 triệu thiết bị Android trên khắp thế giới; kiếm hơn 1.5 tỉ đô la cho tin tặc từ những quảng cáo độc hại chỉ trong vòng hai tháng.

Mã độc CopyCat có khả năng root thiết bị ẩn náu bí mật và lây nhiễm mã độc vào Zygote – thành phần chịu trách nhiệm khởi động ứng dụng trên Android, cung cấp cho tin tặc toàn quyền truy cập vào thiết bị.

Theo nghiên cứu của công ty bảo mật Check Point, CopyCat đã lây nhiễm trên 14 triệu thiết bị, root gần 8 triệu thiết bị; đưa quản cáo độc hại vào 3.8 triệu thiết bị và sử dụng mã độc để đánh cắp thông tin thẻ tín dụng trong 4.4 triệu thiết bị. Phần lớn nạn nhân bị nhiễm mã độc tại Nam và Đông Nam Á với Ấn Độ là quốc gia bị ảnh hưởng nhiều nhất. Hơn 280.000 thiết bị Android tại Mỹ cũng được phát hiện chứa mã độc.

Hiện chưa có bằng chứng cho thấy CopyCat được phát tán qua Google Play nên các nhà nghiên cứu tin rằng người dùng bị nhiễm mã độc thông qua việc cài đặt ứng dụng bên thứ ba và thông qua tấn công lừa đảo. CopyCat sử dụng một vài khai thác bao gồm CVE-2013-6282 (VROOT), CVE-2015-3636 (PingPongRoot), và CVE-2014-3153 (Towelroot) nhằm tấn công thiết bị Android 5.0 và các phiên bản thấp hơn.

Việc hàng loạt thiết bị bị lây nhiễm cho thấy hàng triệu người dùng Android đang sử dụng thiết bị cũ, không được cập nhật và không được hỗ trợ. Các nhà nghiên cứu nghi ngờ một công ty quảng cáo Trung Quốc MobiSummer đứng đằng sau vụ việc phát tán mã độc. Một vài liên hệ như:

• CopyCat và MobiSummer được triển khai từ cùng một máy chủ.
• Một vài đoạn code của CopyCat được kí số bởi MobiSummer.
• CopyCat và MobiSummer sử dụng chung một dịch vụ.
• CopyCat không tấn công người dùng Trung Quốc mà chỉ tấn công người dùng ở các quốc gia châu Á khác.

Người dùng Android được khuyến cáo chỉ sử dụng ứng dụng từ Google Play Store chính thức; không tải ứng dụng từ những nguồn đáng ngờ.

THN