Threat Database Mobile Malware FakeCop Android Malware

FakeCop Android Malware

Skadlig programvara FakeCop är ett hot som kan ta kontroll över offrets Android-enheter och utföra många påträngande åtgärder. En avancerad version av FakeCop har observerats vara utplacerad i en attackkampanj riktad mot japanska användare. Hotet fanns på flera webbadresser kopplade till en gratis DNS-tjänst som heter duckdns. Samma duckdns har också missbrukats som en del av en nätfiskekampanj riktad mot användare från Japan. Infosec-experter tror också att FakeCop kan spridas via SMS, på ett sätt som liknar andra Android-hot med skadlig kod som Flubot och Medusa.

Attackdetaljer

För att lura användare injicerades FakeCop-hotet i flera beväpnade applikationer som imiterade legitima säkerhetslösningar som är populära i Japan. Till exempel modellerades en sådan falsk applikation för att se ut som om den är från Anshin Security, en legitim sekretesstjänstapplikation publicerad av NTT Docomo. Dessutom visar applikationen också ikonen för programmet Secure Internet Security som finns tillgängligt i Play Butik.

När en av de osäkra applikationerna startas kommer den att be om 20 olika enhetsbehörigheter. Efteråt kan den missbruka 12 av dem för att utföra invasiva åtgärder på enheten beroende på de kommandon som tas emot från kommando-och-kontroll-servern (C2, C&C) för attackoperationen. Den modifierade FakeCop skadliga programvaran kan samla in personlig information inklusive kontakter, SMS, applista, kontoinformation, hårdvarudetaljer och mer. Den kan också ändra eller ta bort enhetens SMS-databas. Om du uppmanas till det kan FakeCop också skicka SMS utan att kräva någon interaktion från offret. Bortsett från dess spionprogramfunktionalitet kan hotet också visa innehåll som tillhandahålls av cyberbrottslingar i form av meddelanden.

Undviker upptäckt

Den observerade FakeCop-versionen är extremt svårfångad. Hotaktören använde en skräddarsydd packer för att maskera det hotande beteendet från säkerhetslösningar med statisk detektering. Hackarnas anpassade packningstekniker krypterade först hotets kod och lagrar den sedan i en viss fil som finns i tillgångsmappen.

Dessutom utför FakeCop-varianten en kontroll av säkerhetslösningar som redan finns på den komprometterade enheten. Vid en matchning med en lista över specifika säkerhetsappar kommer FakeCop att generera ett meddelande som ber användaren att ändra, antingen avinstallera eller inaktivera, de legitima säkerhetsprogrammen. På så sätt säkerställer hotet att det finns kvar på det infekterade Android-systemet.

Trendigt

Mest sedda

Läser in...