스마트폰 등 안드로이드 운영체제(OS)을 탑재한 디바이스를 감염시켜 루트 권한을 사용자의 허가 없이 악성 애플리케이션을 설치하는 멀웨어가 빠른 속도로 확산되고 있다. 

카피캣(CopyCat)이라는 악성 코드는 약 1,400만 개의 안드로이드 스마트폰을 감염시켰고 약 800만 개에 뿌리를 내렸다.

체크포인트의 연구진이 발표한 새로운 보고서에 따르면 카피캣은 최신 기술을 사용하여 다양한 유형의 광고 사기를 보여줬다. 감염 후 약 380만 개의 장치가 사기 광고를 받았고 490만 개의 가짜 앱이 설치되었으며 440만 개의 장치가 응용 프로그램 설치로 인해 크레딧을 도둑맞았다. 카피캣 멀웨어는 작년 4월과 5월 사이에 절정에 이르렀다.

보안 연구원은 먼저 이 멀웨어가 체크포인트 샌드블래스트 모바일(Check Point SandBlast Mobile)에 의해 보호되는 장치를 공격했을 때 처음 발견했다.

카피캣의 명령 및 제어 서버에서 정보를 검색하여 연구진은 악성 프로그램의 작동 방식을 알 수 있었다.

카피캣 악성 코드는 피싱 사기 방법을 이용해 악성 코드로 다시 패키징된 인기 앱을 보유한 타사 앱 스토어를 통해 기기를 감염시킨다. 그러나 연구진은 구글 플레이 스토어를 통해 배포된 카피캣의 단서를 찾지 못했다.

카피캣은 충분히 개발된 멀웨어다. 이 멀웨어는 Zygote에 코드를 삽입할 수 있다. Zygote는 안드로이드 OS에서 응용 프로그램을 시작하는 데몬이다. 따라서 해커는 자신의 ID로 앱을 불법적으로 설치하고 크레딧을 획득하여 수익을 올릴 수 있다. 해커는 시스템에 대한 제어를 사용하여 가짜 광고를 게재하고 사기성 앱을 설치한다. 이러한 전략을 사용하여 카피캣 애드웨어 제작자가 이익을 창출했다.

지난 3월, 체크포인트는 악성 코드 캠페인 및 작동 방식을 구글에 알려서 카피캣 감염을 억제할 수 있었다. 그러나 다수의 일반 대중들의 장치는 여전히 카피캣에 감염되었을 수 있다.

카피캣은 윈도우를 목표로 삼아 전세계의 기업 혼란을 야기한 워너크라이 랜섬웨어에 이어 페트야 랜섬웨어의 사이버 공격의 발판이 되었다.

이런 악성 코드는 오래된 보안 패치의 약점을 이용해 50% 이상의 장치에 뿌리를 내렸기 때문에 다른 운영체제와 마찬가지로 안드로이드 사용자들은 기기의 보안 표준을 최신 상태로 유지해야 한다.