برنامج FakeCop Android Malware

يعد برنامج FakeCop الضار تهديدًا يمكنه التحكم في أجهزة Android الخاصة بالضحية وتنفيذ العديد من الإجراءات التدخلية. تمت ملاحظة إصدار متقدم من FakeCop في حملة هجوم تستهدف المستخدمين اليابانيين. تمت استضافة التهديد على العديد من عناوين URL المتصلة بخدمة DNS مجانية تسمى duckdns . كما تم إساءة استخدام نفس البط كجزء من حملة التصيد الاحتيالي التي تستهدف المستخدمين من اليابان. يعتقد خبراء Infosec أيضًا أنه يمكن نشر FakeCop عبر الرسائل القصيرة ، بطريقة مشابهة لتهديدات البرامج الضارة الأخرى لنظام Android مثل Flubot و Medusa .

تفاصيل الهجوم

لخداع المستخدمين ، تم حقن تهديد FakeCop في العديد من التطبيقات المسلحة التي قلدت الحلول الأمنية المشروعة الشائعة في اليابان. على سبيل المثال ، تم تصميم أحد هذه التطبيقات المزيفة ليبدو كما لو كان من Anshin Security ، وهو تطبيق خدمة خصوصية شرعي نشرته NTT Docomo. بالإضافة إلى ذلك ، يعرض التطبيق أيضًا رمز تطبيق Secure Internet Security المتاح في متجر Play.

عند بدء تشغيل أحد التطبيقات غير الآمنة ، سيطلب 20 إذنًا مختلفًا للجهاز. بعد ذلك ، يمكن أن يسيء استخدام 12 منهم لتنفيذ إجراءات اجتياحية على الجهاز اعتمادًا على الأوامر المستلمة من خادم الأوامر والتحكم (C2 ، C&C) لعملية الهجوم. برنامج FakeCop الضار المعدل قادر على جمع المعلومات الشخصية بما في ذلك جهات الاتصال والرسائل القصيرة وقائمة التطبيقات ومعلومات الحساب وتفاصيل الأجهزة والمزيد. يمكنه أيضًا تعديل أو حذف قاعدة بيانات SMS الخاصة بالجهاز. إذا تم إصدار تعليمات ، يمكن لـ FakeCop أيضًا إرسال رسائل SMS دون الحاجة إلى أي تفاعل من الضحية. بصرف النظر عن وظائف برامج التجسس الخاصة به ، فإن التهديد قادر أيضًا على عرض المحتوى الذي يوفره مجرمو الإنترنت في شكل إخطارات.

تجنب الاكتشاف

نسخة FakeCop التي تمت ملاحظتها بعيدة المنال للغاية. استخدم ممثل التهديد أداة تجميع مصنوعة خصيصًا لإخفاء السلوك المهدد من الحلول الأمنية باستخدام الكشف الثابت. قامت تقنيات التعبئة المخصصة للمتسللين أولاً بتشفير رمز التهديد ثم تخزينه داخل ملف معين موجود في مجلد الأصول.

بالإضافة إلى ذلك ، يقوم متغير FakeCop بإجراء فحص لحلول الأمان الموجودة بالفعل على الجهاز المخترق. عند التطابق مع قائمة تطبيقات الأمان المحددة ، سيقوم FakeCOp بإنشاء إشعار يطلب من المستخدم تعديل برامج الأمان الشرعية ، إما إلغاء تثبيت أو تعطيل. بهذه الطريقة ، يضمن التهديد استمراره على نظام Android المصاب.