FakeCop Android Malware

FakeCop-malwaren er en trussel, der kan tage kontrol over ofrets Android-enheder og udføre adskillige påtrængende handlinger. En avanceret version af FakeCop er blevet observeret at blive implementeret i en angrebskampagne rettet mod japanske brugere. Truslen var hostet på adskillige URL'er forbundet med en gratis DNS-tjeneste ved navn duckdns . De samme duckdns er også blevet misbrugt som en del af en phishing-kampagne rettet mod brugere fra Japan. Infosec-eksperter mener også, at FakeCop kan spredes via SMS på en måde, der ligner andre Android-malwaretrusler såsom Flubot og Medusa.

Angrebsdetaljer

For at narre brugere blev FakeCop-truslen injiceret i flere våbenbaserede applikationer, der efterlignede legitime sikkerhedsløsninger, der var populære i Japan. For eksempel blev en sådan falsk applikation modelleret til at se ud, som om den er fra Anshin Security, en legitim privatlivstjenesteapplikation udgivet af NTT Docomo. Derudover viser applikationen også ikonet for applikationen Secure Internet Security, der er tilgængelig i Play Butik.

Når en af de usikre applikationer startes, vil den bede om 20 forskellige enhedstilladelser. Bagefter kan den misbruge 12 af dem til at udføre invasive handlinger på enheden afhængigt af de kommandoer, der modtages fra Command-and-Control-serveren (C2, C&C) for angrebsoperationen. Den modificerede FakeCop malware er i stand til at indsamle personlige oplysninger, herunder kontakter, SMS, apps liste, kontooplysninger, hardware detaljer og mere. Det kan også ændre eller slette enhedens SMS-database. Hvis du bliver bedt om det, kan FakeCop også sende SMS-beskeder uden at kræve interaktion fra offeret. Bortset fra dens spyware-funktionalitet er truslen også i stand til at vise indhold leveret af cyberkriminelle i form af meddelelser.

Undgå detektion

Den observerede FakeCop-version er ekstremt uhåndgribelig. Trusselsaktøren brugte en specialfremstillet pakker til at maskere den truende adfærd fra sikkerhedsløsninger ved hjælp af statisk detektion. Hackernes brugerdefinerede pakningsteknikker krypterede først truslens kode og gemmer den derefter i en bestemt fil, der er placeret i aktivmappen.

Derudover udfører FakeCop-varianten en kontrol for sikkerhedsløsninger, der allerede findes på den kompromitterede enhed. Ved et match med en liste over specifikke sikkerhedsapps vil FakeCop generere en meddelelse, der beder brugeren om at ændre, enten afinstallere eller deaktivere, de legitime sikkerhedsprogrammer. På denne måde sikrer truslen dens vedholdenhed på det inficerede Android-system.