FakeCop Android Malware

Il malware FakeCop è una minaccia che può assumere il controllo dei dispositivi Android della vittima ed eseguire numerose azioni intrusive. È stato osservato che una versione avanzata di FakeCop è stata implementata in una campagna di attacco mirata agli utenti giapponesi. La minaccia era ospitata su numerosi URL collegati a un servizio DNS gratuito denominato duckdns . Gli stessi duckdns sono stati anche abusati come parte di una campagna di phishing rivolta agli utenti dal Giappone. Gli esperti di Infosec ritengono inoltre che FakeCop possa essere diffuso tramite SMS, in modo simile ad altre minacce malware Android come Flubot e Medusa.

Dettagli attacco

Per ingannare gli utenti, la minaccia FakeCop è stata iniettata in diverse applicazioni armate che imitavano le legittime soluzioni di sicurezza popolari in Giappone. Ad esempio, una di queste false applicazioni è stata modellata per apparire come se provenisse da Anshin Security, un'applicazione di servizio di privacy legittima pubblicata da NTT Docomo. Inoltre, l'applicazione visualizza anche l'icona dell'applicazione Secure Internet Security disponibile sul Play Store.

Quando viene avviata una delle applicazioni non sicure, verranno richieste 20 diverse autorizzazioni del dispositivo. Successivamente, può abusarne 12 per eseguire azioni invasive sul dispositivo a seconda dei comandi ricevuti dal server Command-and-Control (C2, C&C) dell'operazione di attacco. Il malware FakeCop modificato è in grado di raccogliere informazioni personali inclusi contatti, SMS, elenco di app, informazioni sull'account, dettagli hardware e altro. Può anche modificare o eliminare il database SMS del dispositivo. Se richiesto, FakeCop può anche inviare messaggi SMS senza richiedere alcuna interazione da parte della vittima. Oltre alla sua funzionalità spyware, la minaccia è anche in grado di visualizzare i contenuti forniti dai criminali informatici sotto forma di notifiche.

Evitare il rilevamento

La versione di FakeCop osservata è estremamente sfuggente. L'autore delle minacce ha utilizzato un packer personalizzato per mascherare il comportamento minaccioso dalle soluzioni di sicurezza utilizzando il rilevamento statico. Le tecniche di confezionamento personalizzate degli hacker hanno prima crittografato il codice della minaccia e poi lo memorizzano all'interno di un determinato file situato nella cartella delle risorse.

Inoltre, la variante FakeCop esegue un controllo delle soluzioni di sicurezza già presenti sul dispositivo compromesso. In caso di corrispondenza con un elenco di app di sicurezza specifiche, FakeCOp genererà una notifica che chiede all'utente di modificare, disinstallare o disabilitare i programmi di sicurezza legittimi. In questo modo la minaccia garantisce la sua persistenza sul sistema Android infetto.