FakeCop Android Malware

FakeCop kötü amaçlı yazılımı, kurbanın Android cihazlarının kontrolünü ele geçirebilen ve çok sayıda müdahaleci eylem gerçekleştirebilen bir tehdittir. Japon kullanıcıları hedef alan bir saldırı kampanyasında FakeCop'un gelişmiş bir sürümünün kullanıldığı gözlemlendi. Tehdit, duckdns adlı ücretsiz bir DNS hizmetine bağlı çok sayıda URL'de barındırıldı. Aynı ördekler , Japonya'dan kullanıcıları hedefleyen bir kimlik avı kampanyasının bir parçası olarak da kötüye kullanıldı. Infosec uzmanları ayrıca, Flubot ve Medusa gibi diğer Android kötü amaçlı yazılım tehditlerine benzer şekilde, FakeCop'un SMS yoluyla yayılabileceğine inanıyor.

Saldırı Detayları

Kullanıcıları kandırmak için, FakeCop tehdidi, Japonya'da popüler olan meşru güvenlik çözümlerini taklit eden birkaç silahlı uygulamaya enjekte edildi. Örneğin, böyle bir sahte uygulama, NTT Docomo tarafından yayınlanan meşru bir gizlilik hizmeti uygulaması olan Anshin Security'denmiş gibi görünecek şekilde modellenmiştir. Ayrıca uygulama, Play Store'da bulunan Güvenli İnternet Güvenliği uygulamasının simgesini de görüntüler.

Güvenli olmayan uygulamalardan biri başlatıldığında 20 farklı cihaz izni isteyecektir. Daha sonra saldırı operasyonunun Komuta Kontrol (C2, C&C) sunucusundan alınan komutlara bağlı olarak 12 tanesini kötüye kullanarak cihaz üzerinde invaziv eylemler gerçekleştirebilir. Değiştirilen FakeCop kötü amaçlı yazılımı, kişiler, SMS, uygulama listesi, hesap bilgileri, donanım ayrıntıları ve daha fazlasını içeren kişisel bilgileri toplama yeteneğine sahiptir. Ayrıca cihazın SMS veritabanını değiştirebilir veya silebilir. FakeCop, talimat verildiği takdirde, kurbandan herhangi bir etkileşim gerektirmeden SMS mesajları da gönderebilir. Tehdit, casus yazılım işlevinin yanı sıra, siber suçlular tarafından sağlanan içeriği bildirimler şeklinde görüntüleme yeteneğine de sahiptir.

Algılamadan Kaçınma

Gözlenen FakeCop versiyonu son derece zor. Tehdit aktörü, statik algılama kullanarak güvenlik çözümlerinden gelen tehdit edici davranışı maskelemek için özel yapım bir paketleyici kullandı. Bilgisayar korsanlarının özel paketleme teknikleri önce tehdidin kodunu şifreler ve ardından onu varlıklar klasöründe bulunan belirli bir dosyada saklar.

Ayrıca FakeCop varyantı, güvenliği ihlal edilmiş cihazda zaten mevcut olan güvenlik çözümlerini kontrol eder. Belirli güvenlik uygulamaları listesiyle eşleşme üzerine, FakeCOp, kullanıcıdan yasal güvenlik programlarını değiştirmesini, kaldırmasını veya devre dışı bırakmasını isteyen bir bildirim oluşturur. Bu şekilde tehdit, virüslü Android sisteminde kalıcı olmasını sağlar.