Le app infette di CopyCat non hanno mai fatto la loro comparsa sullo store ufficiale Google Play, ma questo non ha impedito ai cyber-criminali che gestivano l’operazione di infettare milioni di utenti dell’OS mobile Android e di rastrellare un bel po’ di quattrini “iniettando” banner pubblicitari all’interno delle app installate sul dispositivo.
Scovato dai ricercatori della security enterprise israeliana Check Point, CopyCat è una famiglia di adware per Android che risulta attiva da un anno e mezzo ; il “successo” della campagna malevola è data dai numeri forniti dagli analisti: 14 milioni di dispositivi Android infetti , 8 milioni di gadget completamente compromessi a livello “root”, 3,8 milioni di dispositivi usati per distribuire advertising in maniera fraudolenta, 4,9 milioni di app installate illegalmente e 1,5 milioni di dollari di guadagni verificati.
Le app infette da CopyCat sono state distribuite per mezzo degli store di terze parti e dei forum specializzati, rivelano da Check Point, mentre tra le caratteristiche più importanti della minaccia vi è la capacità di sfruttare cinque vulnerabilità di Android per effettuare il rooting del dispositivo e compromettere un processo integrato nel cuore del sistema operativo mobile (Zygote).
Zygote controlla le operazioni di lancio delle app su Android, e grazie alla compromissione di questo meccanismo i criminali di CopyCat hanno potuto dispensare la loro pubblicità sui dispositivi infetti. I cinque exploit incriminati funzionano solo sulle versioni meno recenti dell’OS mobile (dalla 5 in giù), ma in un ecosistema frammentato come quello di Android il parco di potenziali vittime è risultato essere (e continua ad essere) comunque notevole.
Un’altra caratteristica di rilievo di CopyCat riguarda quello che sembra essere il suo mercato di riferimento , visto che la maggior parte delle infezioni è stata localizzata nel sud-est asiatico; l’adware è progettato per evitare di infettare i dispositivi presenti in Cina , spiegano da Check Point, fatto che si spiega con la possibile nazionalità cinese degli autori e quindi con il tentativo di evitare l’intervento delle autorità locali.
D’altronde non sarebbe certo la prima volta di un malware mobile dispensa-pubblicità con un “cervello” cinese, basti pensare i casi relativamente recenti di YiSpecter per l’ecosistema iOS o di HummingBad sempre per Android. Oltre a distribuire advertising illegittimo, CopyCat ha infine la capacità di eseguire operazioni ancora più invasive (furto di dati, installazione di app, phishing) qualora i suoi autori lo volessero.
Alfonso Maruccia