CopyCat adındaki zararlı malware virüsü, milyonlarca Android cihazlarına bulaşarak, cihazların yarısından fazlasına zarar verdi.

CopyCat adlı Android cihazlara bulaşan malware virüsü, Google‘ın mobil işletim sistemini çalıştıran 14 milyondan fazla cihaza bulaştı. Bunların sekiz milyonunu kök salarak harap olmasına neden oldu. Kötü amaçlı yazılımları keşfedip isimlendiren siber güvenlik şirketi Check Point‘e göre, bu virüsler, CopyCat tarafından sunulan sahte reklam kampanyalarından elde edilen ve satılan gelirlerde yaklaşık 1.5 milyon dolar gelir sağladı.

CopyCat virüsü cihazlara nasıl bulaşıyor?

Checkpoint, ABD‘de 280.000 Android kullanıcısına ulaşmayı başarmış olmasına rağmen, kötü amaçlı yazılım çoğunlukla Güney Doğu Asya’daki cihazları bulaştırdı. Check Point araştırma ekibi bu virüsün cihazlarda kalıcılık oluşturma, herhangi bir etkinliği denetlemesine izin veren, geniş yeteneklere sahip geliştirilmiş bir kötü amaçlı yazılım olduğundan söz etti. Ayrıca ekip yapmış olduğu araştırmalar sonucunda: “Enfeksiyon sonrasında, CopyCat ilk önce kullanıcının cihazını kök salıyor, böylece saldırganlar cihazın tam kontrolünü ele geçiriyor ve kullanıcıyı genelde savunmasız bırakıyor.” sözlerinde bulundu.

Virüs ile 1.5 milyon dolar kazanç sağladılar!

Araştırma ekibi daha sonraki konuşmalarında bu işten nasıl kazanç ettiklerini de açıkladı. Anlatılanlara göre sahte kimliklerle uygulama yüklemişler. Detaylı açıklamaya geçersek, Zygote uygulama başlatma sürecine kod enjekte ederek, gerçek yönlendiren kimliğini kendi sahte kimliğiyle değiştirerek uygulama yüklemişler. Bu sayede saldırganlar bu yolla  1.5 milyon dolar gelir sağladılar.

Bu virüs ile nasıl kazanç elde ettiler

Ayrıca CopyCat, özellikle kötü niyetli bir Android virüsü haline getiren başka bir yöne de sahip. kullanıcıları kendi ekranlarında reklamların açılmasının nedenini anlamayı zorlaştırarak, Zygate sürecini kötüye kullanılan reklamları göstermek için kökünü gizleyerek kötüye kullanıyor. Kısacası virüs olduğunu gizliyor. CopyCat ayrıca, hileli uygulamaları ayrı bir modül kullanarak doğrudan aygıta kuruyor. Bu noktadan sonra telefon iyice harap oluyor. Daha sonrası telefon artık ölü hale geliyor.

Araştırmacılar Google‘ı kötü niyetli yazılımlara karşı uyarıda bulundu. Arama motoru devinin kampanyayı bastırabildiğini ancak daha önce hiç bitmediğini belirtti. Bununla birlikte, Check Point, bugün hala CopyCat‘a bulaşmış aygıtların olabileceğini söyledi.

Virüsün arkasında MobiSummer reklam firması olabilir

Şu anda CopyCat‘ın arkasında kim olduğu belli değil, ancak Check Point, Çin’de bulunan MobiSummer reklam ağına işaret ettiğini gösteren işaretlerin bulunduğunu belirtti. Milyonlarca kişiyi etkileyen amacının arkasında illegal olarak para kazanma yatıyor. MobiSummer reklamlarını daha çok insana ulaştırmak amaçlı kötü niyetli olarak bu işe bulaşmış olabilir. Fakat arkasında kanıtlanabilir şekilde kimin olduğu belli değil. Bu nedenle bütün iş yine Google’a bakıyor ve en kısa zamanda bu tür virüsler için küçük çaplı güncelleme getirmesi gerek.