FakeCop 안드로이드 멀웨어

FakeCop 멀웨어는 피해자의 Android 기기를 제어하고 수많은 침입 작업을 수행할 수 있는 위협입니다. 일본 사용자를 대상으로 하는 공격 캠페인에 FakeCop의 고급 버전이 배포된 것으로 관찰되었습니다. 이 위협은 duckdns 라는 무료 DNS 서비스에 연결된 수많은 URL에서 호스팅되었습니다. 일본 사용자를 대상으로 하는 피싱 캠페인의 일환으로 같은 duckdns도 악용되었습니다. Infosec 전문가들은 FakeCop이 Flubot 및 Medusa 와 같은 다른 Android 맬웨어 위협과 유사한 방식으로 SMS를 통해 확산될 수 있다고 믿습니다.

공격 세부 정보

사용자를 속이기 위해 FakeCop 위협은 일본에서 인기 있는 합법적인 보안 솔루션을 모방한 여러 무기화된 애플리케이션에 주입되었습니다. 예를 들어, 그러한 가짜 애플리케이션 중 하나는 NTT Docomo에서 게시한 합법적인 개인 정보 보호 서비스 애플리케이션인 Anshin Security의 것처럼 보이도록 모델링되었습니다. 또한 응용 프로그램은 Play 스토어에서 사용할 수 있는 Secure Internet Security 응용 프로그램의 아이콘도 표시합니다.

안전하지 않은 응용 프로그램 중 하나가 시작되면 20가지 다른 장치 권한을 요청합니다. 이후 공격작전의 Command-and-Control(C2, C&C) 서버로부터 받은 명령에 따라 12개를 악용하여 디바이스에 대한 공격적 행동을 할 수 있다. 수정된 FakeCop 멀웨어는 연락처, SMS, 앱 목록, 계정 정보, 하드웨어 세부 정보 등을 포함한 개인 정보를 수집할 수 있습니다. 또한 장치의 SMS 데이터베이스를 수정하거나 삭제할 수 있습니다. 지시가 있는 경우 FakeCop은 피해자의 개입 없이 SMS 메시지를 보낼 수도 있습니다. 스파이웨어 기능 외에도 이 위협 요소는 사이버 범죄자가 제공한 콘텐츠를 알림 형태로 표시할 수도 있습니다.

탐지 피하기

관찰된 FakeCop 버전은 매우 파악하기 어렵습니다. 위협 행위자는 맞춤형 패커를 사용하여 정적 탐지를 사용하여 보안 솔루션의 위협 행위를 마스킹했습니다. 해커의 맞춤형 패킹 기술은 먼저 위협 코드를 암호화한 다음 자산 폴더에 있는 특정 파일에 저장합니다.

또한 FakeCop 변종은 손상된 장치에 이미 존재하는 보안 솔루션을 확인합니다. 특정 보안 앱 목록과 일치하면 FakeCOP는 사용자에게 합법적인 보안 프로그램을 수정하거나 제거 또는 비활성화하도록 요청하는 알림을 생성합니다. 이러한 방식으로 위협은 감염된 Android 시스템에서 지속성을 보장합니다.