FakeCop Android Malware

Malware FakeCop to zagrożenie, które może przejąć kontrolę nad urządzeniami z Androidem ofiary i wykonać wiele inwazyjnych działań. Zaobserwowano, że zaawansowana wersja FakeCop została wdrożona w kampanii ataku wymierzonej w japońskich użytkowników. Zagrożenie było hostowane pod wieloma adresami URL połączonymi z bezpłatną usługą DNS o nazwie duckdns . Te same kaczki były również wykorzystywane w ramach kampanii phishingowej wymierzonej w użytkowników z Japonii. Eksperci Infosec uważają również, że FakeCop może być rozprzestrzeniany za pośrednictwem SMS-ów, w sposób podobny do innych zagrożeń złośliwego oprogramowania na Androida, takich jak Flubot i Medusa.

Szczegóły ataku

Aby oszukać użytkowników, zagrożenie FakeCop zostało wstrzyknięte do kilku uzbrojonych aplikacji, które imitowały legalne rozwiązania bezpieczeństwa popularne w Japonii. Na przykład, jedna z takich fałszywych aplikacji została zamodelowana tak, aby wyglądała, jakby pochodziła z Anshin Security, legalnej aplikacji służącej do ochrony prywatności opublikowanej przez NTT Docomo. Ponadto aplikacja wyświetla również ikonę aplikacji Secure Internet Security dostępnej w Sklepie Play.

Gdy jedna z niebezpiecznych aplikacji zostanie uruchomiona, poprosi o 20 różnych uprawnień urządzenia. Następnie może nadużywać 12 z nich do wykonywania inwazyjnych działań na urządzeniu w zależności od poleceń otrzymanych z serwera Command-and-Control (C2, C&C) operacji ataku. Zmodyfikowane złośliwe oprogramowanie FakeCop jest w stanie zbierać dane osobowe, w tym kontakty, SMS-y, listę aplikacji, informacje o koncie, dane sprzętowe i inne. Może również modyfikować lub usuwać bazę danych SMS urządzenia. Po otrzymaniu instrukcji FakeCop może również wysyłać wiadomości SMS bez konieczności interakcji ze strony ofiary. Oprócz funkcji spyware zagrożenie to potrafi również wyświetlać treści dostarczane przez cyberprzestępców w formie powiadomień.

Unikanie wykrycia

Obserwowana wersja FakeCop jest niezwykle nieuchwytna. Podmiot zajmujący się zagrożeniami użył niestandardowego programu pakującego, aby zamaskować groźne zachowanie przed rozwiązaniami zabezpieczającymi za pomocą wykrywania statycznego. Niestandardowe techniki pakowania hakerów najpierw szyfrują kod zagrożenia, a następnie przechowują go w określonym pliku znajdującym się w folderze zasobów.

Ponadto wariant FakeCop sprawdza, czy na zaatakowanym urządzeniu znajdują się już rozwiązania zabezpieczające. Po dopasowaniu do listy konkretnych aplikacji zabezpieczających FakeCOp wygeneruje powiadomienie z prośbą o zmodyfikowanie, odinstalowanie lub wyłączenie legalnych programów zabezpieczających. W ten sposób zagrożenie zapewnia jego trwałość na zainfekowanym systemie Android.