FakeCop Android Malware
O malware FakeCop é uma ameaça que pode assumir o controle dos dispositivos Android da vítima e realizar inúmeras ações intrusivas. Observou-se que uma versão avançada do FakeCop foi implantada em uma campanha de ataque voltada para usuários japoneses. A ameaça estava hospedada em vários URLs conectados a um serviço DNS gratuito chamado duckdns . O mesmo duckdns também foi abusado como parte de uma campanha de phishing direcionada a usuários japoneses. Os especialistas da Infosec também acreditam que o FakeCop pode ser espalhado via SMS, de maneira semelhante a outras ameaças de malware do Android, tais como o Flubot e o Medusa.
Detalhes sobre o Ataque
Para enganar os usuários, a ameaça FakeCop foi injetada em vários aplicativos armados que imitavam soluções de segurança legítimas populares no Japão. Por exemplo, um desses aplicativos falsos foi modelado para parecer ser do Anshin Security, um aplicativo de serviço de privacidade legítimo publicado pela NTT Docomo. Além disso, o aplicativo também exibe o ícone do aplicativo Secure Internet Security disponível na Play Store.
Quando um dos aplicativos inseguros é iniciado, ele solicitará 20 permissões de dispositivo diferentes. Posteriormente, ele pode abusar de 12 deles para realizar ações invasivas no dispositivo, dependendo dos comandos recebidos do servidor Comando e Controle (C2, C&C) da operação de ataque. O malware FakeCop modificado é capaz de coletar informações pessoais, incluindo contatos, SMS, lista de aplicativos, informações de conta, detalhes de hardware e muito mais. Ele também pode modificar ou excluir o banco de dados SMS do dispositivo. Se instruído, o FakeCop também pode enviar mensagens SMS sem exigir nenhuma interação da vítima. Além de sua funcionalidade de spyware, a ameaça também é capaz de exibir conteúdo fornecido pelos cibercriminosos na forma de notificações.
Evitando Detecção
A versão do FakeCop observada é extremamente elusiva. O agente da ameaça usou um empacotador feito sob medida para mascarar o comportamento ameaçador das soluções de segurança usando detecção estática. As técnicas de embalagem personalizadas dos hackers primeiro criptografaram o código da ameaça e, em seguida, o armazenaram em um determinado arquivo localizado na pasta de ativos.
Além disso, a variante do FakeCop executa uma verificação de soluções de segurança já presentes no dispositivo comprometido. Após uma correspondência com uma lista de aplicativos de segurança específicos, o FakeCOp irá gerar uma notificação pedindo ao usuário para modificar, desinstalar ou desabilitar os programas de segurança legítimos. Dessa forma, a ameaça garante sua persistência no sistema Android infectado.
