นักวิจัยด้านความมั่นคงปลอดภัยจาก Check Point ได้ออกมาเปิดเผยถึงการโจมตีของ Android Malware ที่มีชื่อว่า CopyCat ซึ่งเคยเกิดขึ้นว่ามีเหยื่อไปแล้วกว่า 14 ล้านรายทั่วโลก ทำให้ผู้พัฒนาได้รับเงินไปทั้งสิ้นกว่า 1.5 ล้านเหรียญหรือราวๆ 52.5 ล้านบาทจากการทำ Ad Fraud
การโจมตีทั้งหมดนี้ใช้เวลาเพียง 2 เดือนเท่านั้นตั้งแต่เดือนเมษายนถึงพฤษภาคมปี 2016 ที่ผ่านมา โดยในเหยื่อทั้งสิ้น 14 ล้านรายนี้เป็นเครื่องที่ Root มากถึง 8 ล้านเครื่อง และยังมีเหยื่ออยู่ภายในภูมิภาคเอเชียมากถึง 55% โดยเหยื่อส่วนใหญ่อยู่ในเอเชียตะวันออกเฉียงใต้ ซึ่งในรายงานก็ได้ระบุด้วยว่าการโจมตีเหล่านี้ไม่ได้ทำผ่าน Google Play เลยแม้แต่น้อย แต่ทำการแพร่ระบาดผ่านทาง App Store ของ 3rd Party เป็นหลัก
การแพร่ระบาดของ CopyCat นี้เกิดขึ้นจากการนำ Android Application ที่มีชื่อเสียงมาฝังโค้ดของ CopyCat ลงไป และนำไปแพร่กระจายผ่านทาง 3rd Party App Store รวมถึงทำ Phishing หลอกให้เหยื่อทำการติดตั้ง Application เหล่านี้ โดยเมื่อเครื่องของเหยื่อที่ติดตั้ง Application ที่มี CopyCat แฝงอยู่เข้าไปแล้วและถูก Restart เครื่องเหล่านั้นจะทำการโหลดชุดโค้ดสำหรับการโจมตีมาจาก Amazon S3 ทันที พร้อมใช้สิทธิ์ Root ในการทำงาน ทำให้ถอนการติดตั้งได้ยาก
หลังจากนั้น CopyCat จะทำการโจมตี Zygote ระบบ Android Core Process สำหรับใช้ในการ Launch Application ขึ้นมา และยังทำให้ CopyCat ได้รับสิทธิ์ระดับสูงไปด้วย โดย CopyCat จะทำการแสดงโฆษณาปลอมเพื่อหลอกให้ผู้ใช้งานติดตั้ง Application ปลอมๆ เป็นช่องทางในการสร้างรายได้ให้แก่นักพัฒนา Malware อีกทั้งยังใช้หลอกให้ผู้ใช้งานทำการติดตั้ง Application จาก Google Play ได้อีกด้วยเช่นกัน
ปัจจุบันนี้ถึงแม้เวลาจะล่วงเลยมาแล้วกว่า 1 ปี แต่ก็ยังไม่สามารถระบุชัดได้ว่าใครเป็นผู้อยู่เบื้องหลัง CopyCat Malware นี้ แต่ก็ถือเป็นอุทาหรณ์ที่ดีสำหรับการใช้งานโทรศัพท์ ว่าควรจะต้องมีความระมัดระวังเป็นอย่างสูง ไม่เช่นนั้นก็อาจตกเป็นเหยื่อได้ง่ายๆ เช่นกัน
ที่มา : threatpost blog.checkpoint techtalkthai