FakeCop Android-malware

De FakeCop-malware is een bedreiging die de Android-apparaten van het slachtoffer kan overnemen en talloze intrusieve acties kan uitvoeren. Er is waargenomen dat een geavanceerde versie van FakeCop wordt ingezet in een aanvalscampagne die gericht is op Japanse gebruikers. De dreiging werd gehost op talloze URL's die waren verbonden met een gratis DNS-service met de naam duckdns . Dezelfde duckdns is ook misbruikt als onderdeel van een phishing-campagne gericht op gebruikers uit Japan. Infosec-experts zijn ook van mening dat FakeCop via sms kan worden verspreid, op een manier die vergelijkbaar is met andere Android-malwarebedreigingen zoals Flubot en Medusa.

Aanvalsdetails

Om gebruikers te misleiden, werd de FakeCop-dreiging geïnjecteerd in verschillende bewapende applicaties die legitieme beveiligingsoplossingen imiteerden die populair zijn in Japan. Een dergelijke nep-applicatie is bijvoorbeeld zo gemodelleerd dat het lijkt alsof het afkomstig is van Anshin Security, een legitieme privacyservice-applicatie die is gepubliceerd door NTT Docomo. Daarnaast toont de applicatie ook het pictogram voor de Secure Internet Security-applicatie die beschikbaar is in de Play Store.

Wanneer een van de onveilige applicaties wordt gestart, zal deze om 20 verschillende apparaatrechten vragen. Daarna kan het er 12 misbruiken om invasieve acties uit te voeren op het apparaat, afhankelijk van de opdrachten die zijn ontvangen van de Command-and-Control (C2, C&C)-server van de aanvalsoperatie. De aangepaste FakeCop-malware kan persoonlijke informatie verzamelen, waaronder contacten, sms, lijst met apps, accountgegevens, hardwaregegevens en meer. Het kan ook de sms-database van het apparaat wijzigen of verwijderen. Indien geïnstrueerd, kan FakeCop ook sms-berichten verzenden zonder dat er tussenkomst van het slachtoffer nodig is. Afgezien van de spyware-functionaliteit, kan de dreiging ook inhoud weergeven die door de cybercriminelen wordt geleverd in de vorm van meldingen.

Detectie vermijden

De waargenomen FakeCop-versie is uiterst ongrijpbaar. De dreigingsactor gebruikte een op maat gemaakte packer om het bedreigende gedrag van beveiligingsoplossingen te maskeren met behulp van statische detectie. De aangepaste verpakkingstechnieken van de hackers versleutelden eerst de code van de dreiging en slaan deze vervolgens op in een bepaald bestand in de activamap.

Bovendien voert de FakeCop-variant een controle uit op beveiligingsoplossingen die al aanwezig zijn op het gecompromitteerde apparaat. Bij een overeenkomst met een lijst met specifieke beveiligings-apps, genereert FakeCOp een melding waarin de gebruiker wordt gevraagd de legitieme beveiligingsprogramma's te wijzigen, te verwijderen of uit te schakelen. Op deze manier verzekert de dreiging zijn persistentie op het geïnfecteerde Android-systeem.