FakeCop Android 恶意软件

FakeCop 恶意软件是一种威胁，可以控制受害者的 Android 设备并执行大量侵入性操作。已经观察到在针对日本用户的攻击活动中部署了 FakeCop 的高级版本。该威胁托管在连接到名为duckdns的免费DNS 服务的多个URL 上。同样的duckdns也被滥用作为针对日本用户的网络钓鱼活动的一部分。 Infosec 专家还认为，FakeCop 可以通过短信传播，其传播方式类似于Flubot和Medusa等其他 Android 恶意软件威胁。

攻击详情

为了欺骗用户，FakeCop 威胁被注入到几个模仿日本流行的合法安全解决方案的武器化应用程序中。例如，一个这样的虚假应用程序被建模为看起来好像来自 Anshin Security，一个由 NTT Docomo 发布的合法隐私服务应用程序。此外，该应用程序还会显示 Play 商店中可用的 Secure Internet Security 应用程序的图标。

当其中一个不安全的应用程序启动时，它会要求 20 种不同的设备权限。之后，它可以根据从攻击操作的命令和控制（C2，C＆C）服务器收到的命令，滥用其中的 12 个对设备执行侵入性操作。修改后的 FakeCop 恶意软件能够收集个人信息，包括联系人、短信、应用程序列表、帐户信息、硬件详细信息等。它还可以修改或删除设备的短信数据库。如果有指示，FakeCop 还可以发送 SMS 消息，而无需受害者进行任何交互。除了其间谍软件功能外，该威胁还能够以通知的形式显示网络犯罪分子提供的内容。

避免检测

观察到的 FakeCop 版本非常难以捉摸。威胁行为者使用定制的打包程序通过静态检测从安全解决方案中屏蔽威胁行为。黑客的自定义打包技术首先加密威胁的代码，然后将其存储在位于资产文件夹中的某个文件中。

此外，FakeCop 变体会检查受感染设备上已经存在的安全解决方案。在与特定安全应用程序列表匹配后，FakeCOp 将生成通知，要求用户修改、卸载或禁用合法安全程序。通过这种方式，威胁可确保其在受感染的 Android 系统上持久存在。