O software malicioso, batizado como CopyCat pelos investigadores de ameaças móveis da Check Point, utiliza uma inovadora técnica para gerar e roubar receitas publicitárias. O seu foco de infeção principal é o sudeste da Ásia, mas já se espalhou a outras regiões: nos Estados Unidos, por exemplo, infetou 280 mil utilizadores do Android.
O CopyCat inclui mecanismos de root e de injeção de código no Zygote, o daemon responsável por lançar aplicações no sistema operativo da Google. Utiliza uma tecnologia muito potente para lançar publicidade fraudulenta, de forma semelhante a outras ameaças descobertas pela Check Point, como Gooligan, DressCode ou Skinner. Além disso, toma o controlo total do terminal, deixando a vítima completamente exposta.
Os investigadores descobriram o malware enquanto este atacava os dispositivos de uma empresa protegida pela solução Check Point SandBlast Mobile. A Check Point recuperou informação dos servidores de Comando e Controlo da ameaça e realizou engenharia inversa sobre as suas operações internas, que estão detalhadamente descritas num relatório técnico completo, disponível na web da Check Point.
O CopyCat alcançou o seu pico de maior atividade entre abril e maio de 2016. Os investigadores acreditam que se difundiu sobretudo através de apps populares, reempacotadas com malware e disponibilizadas em lojas de terceiros, assim como através de phishing. Não há provas de que a ameaça se encontrara no Google Play, a loja oficial de aplicações da Google.
Em março de 2017, a Check Point informou a Google sobre a campanha e sobre como funcionava o malware. A Google informou que conseguiu acabar com o CopyCat, e o número atual de terminais infetados é muito menor ao que era no momento da máxima expansão do malware. No entanto, os smartphones e tablets afetados ainda podem estar hoje em perigo.
Os interessados em saber mais sobre o CopyCat devem visitar o blogue da Check Point.