FakeCop зловреден софтуер за Android

До Mezo през Mobile Malwareг

Превод на:

Зловредният софтуер FakeCop е заплаха, която може да поеме контрола върху устройствата с Android на жертвата и да извърши множество натрапчиви действия. Наблюдавано е, че усъвършенствана версия на FakeCop е била разгърната в кампания за атака, насочена към японски потребители. Заплахата беше хоствана на множество URL адреси, свързани с безплатна DNS услуга, наречена duckdns . Същият duckdns също е бил злоупотребен като част от фишинг кампания, насочена към потребители от Япония. Експертите на Infosec също вярват, че FakeCop може да се разпространява чрез SMS, по начин, подобен на други заплахи за злонамерен софтуер за Android като Flubot и Medusa .

Подробности за атаката

За да заблуди потребителите, заплахата FakeCop беше инжектирана в няколко оръжейни приложения, които имитират законни решения за сигурност, популярни в Япония. Например, едно такова фалшиво приложение беше моделирано така, че да изглежда така, сякаш е от Anshin Security, легитимно приложение за поверителност, публикувано от NTT Docomo. В допълнение, приложението показва и иконата за приложението Secure Internet Security, достъпно в Play Store.

Когато се стартира някое от опасните приложения, то ще поиска 20 различни разрешения за устройство. След това може да злоупотреби с 12 от тях, за да извърши инвазивни действия на устройството в зависимост от командите, получени от сървъра за командване и управление (C2, C&C) на операцията за атака. Модифицираният злонамерен софтуер FakeCop е в състояние да събира лична информация, включително контакти, SMS, списък с приложения, информация за акаунта, хардуерни детайли и други. Той също така може да промени или изтрие SMS базата данни на устройството. Ако бъде инструктиран, FakeCop може също да изпраща SMS съобщения, без да изисква никакво взаимодействие от страна на жертвата. Освен своята функционалност за шпионски софтуер, заплахата също така може да показва съдържание, предоставено от киберпрестъпниците под формата на известия.

Избягване на откриване

Наблюдаваната версия на FakeCop е изключително неуловима. Актьорът на заплахата е използвал персонализиран опаковчик, за да маскира заплашителното поведение от решения за сигурност, използвайки статично откриване. Персонализираните техники за опаковане на хакерите първо криптират кода на заплахата и след това го съхраняват в определен файл, намиращ се в папката с активи.

В допълнение, вариантът FakeCop извършва проверка за решения за сигурност, които вече присъстват на компрометираното устройство. При съвпадение със списък със специфични приложения за сигурност, FakeCOp ще генерира известие, което иска от потребителя да промени, или деинсталира, или деактивира, законните програми за сигурност. По този начин заплахата гарантира своята устойчивост в заразената Android система.