FakeCop Android Вредоносное ПО

Вредоносное ПО FakeCop - это угроза, которая может контролировать устройства Android жертвы и выполнять множество вторжений. Было замечено, что расширенная версия FakeCop была развернута в кампании атаки, нацеленной на японских пользователей. Угроза размещалась на многочисленных URL-адресах, подключенных к бесплатному DNS-сервису duckdns . Этим же duckdns злоупотребляли в рамках фишинг-кампании, нацеленной на пользователей из Японии. Эксперты Infosec также считают, что FakeCop может распространяться через SMS, аналогично другим вредоносным программам для Android, таким как Flubot и Medusa .

Детали атаки

Чтобы обмануть пользователей, угроза FakeCop была внедрена в несколько вооруженных приложений, имитирующих законные решения безопасности, популярные в Японии. Например, одно такое поддельное приложение было смоделировано так, чтобы оно выглядело так, как если бы оно было от Anshin Security, законного приложения службы конфиденциальности, опубликованного NTT Docomo. Кроме того, приложение также отображает значок приложения Secure Internet Security, доступного в Play Store.

Когда запускается одно из небезопасных приложений, оно запрашивает 20 различных разрешений для устройства. После этого он может использовать 12 из них для выполнения инвазивных действий на устройстве в зависимости от команд, полученных от сервера Command-and-Control (C2, C&C) операции атаки. Модифицированное вредоносное ПО FakeCop способно собирать личную информацию, включая контакты, SMS, список приложений, информацию об учетной записи, сведения об оборудовании и многое другое. Он также может изменять или удалять базу данных SMS устройства. Если получено указание, FakeCop также может отправлять SMS-сообщения, не требуя какого-либо взаимодействия со стороны жертвы. Помимо функций шпионского ПО, угроза также способна отображать контент, предоставленный киберпреступниками, в виде уведомлений.

Как избежать обнаружения

Наблюдаемая версия FakeCop крайне неуловима. Злоумышленник использовал специальный упаковщик, чтобы замаскировать угрожающее поведение от решений безопасности с помощью статического обнаружения. Хакерские методы пользовательской упаковки сначала зашифровывают код угрозы, а затем сохраняют его в определенном файле, расположенном в папке с ресурсами.

Кроме того, вариант FakeCop выполняет проверку решений безопасности, уже имеющихся на взломанном устройстве. После сопоставления со списком конкретных приложений безопасности FakeCOp сгенерирует уведомление, предлагающее пользователю изменить, удалить или отключить законные программы безопасности. Таким образом угроза сохраняется в зараженной системе Android.