Onderzoekers van securitybedrijf Check Point zeggen adware voor Android te hebben ontdekt die 14 miljoen toestellen infecteerde en er daarvan 8 miljoen heeft geroot. De adware wordt CopyCat genoemd en is verspreid via onofficiële marktplaatsen en phishing. CopyCat is niet via Google Play verspreid.
De adware zat verborgen in populaire apps waar de kwaadaardige code aan was toegevoegd. Dit "repackagen" van legitieme, bekende Android-apps met kwaadaardige code om die vervolgens op onofficiële marktplaatsen aan te bieden is een veelgebruikte techniek door cybercriminelen. Zodra gebruikers de kwaadaardige app hadden geïnstalleerd werden er verschillende exploits voor Android 5 en ouder gebruikt om het toestel te rooten.
De exploits die CopyCat toepast maken gebruik van kwetsbaarheden in Android die van 2013, 2014 en 2015 dateren. Door het rooten van het toestel krijgt de adware volledige controle. Na het rooten wordt er kwaadaardige code in een Android-proces geïnjecteerd. Hierdoor is het mogelijk om zonder toestemming van de gebruiker apps te installeren en het id van de referrer te veranderen. Zodoende worden de CopyCat-ontwikkelaars voor elke frauduleuze installatie van een app betaald.
Daarnaast laat CopyCat allerlei advertenties zien, waarbij de herkomst wordt verborgen zodat gebruikers niet zien waar de pop-ups vandaan komen. Via de adware zouden de CopyCat-ontwikkelaars miljoenen dollars hebben verdiend. Na te zijn ingelicht heeft Google maatregelen genomen om de adware aan te pakken, waardoor het aantal besmette toestellen is gedaald. De cijfers van Check Point zijn nog niet door een andere partij bevestigd. Onlangs kwam het securitybedrijf met een rapport waarin het claimde dat adware genaamd Fireball 250 miljoen computers wereldwijd zou hebben geïnfecteerd. Microsoft stelde dat de cijfers niet klopten en kwam uiteindelijk op 11 miljoen infecties uit.
Deze posting is gelocked. Reageren is niet meer mogelijk.