FakeCop Android 惡意軟件

FakeCop 惡意軟件是一種威脅，可以控制受害者的 Android 設備並執行大量侵入性操作。已經觀察到在針對日本用戶的攻擊活動中部署了 FakeCop 的高級版本。該威脅託管在連接到名為duckdns的免費DNS 服務的多個URL 上。同樣的duckdns也被濫用作為針對日本用戶的網絡釣魚活動的一部分。 Infosec 專家還認為，FakeCop 可以通過短信傳播，其傳播方式類似於Flubot和Medusa等其他 Android 惡意軟件威脅。

攻擊詳情

為了欺騙用戶，FakeCop 威脅被注入到幾個模仿日本流行的合法安全解決方案的武器化應用程序中。例如，一個這樣的虛假應用程序被建模為看起來好像來自 Anshin Security，一個由 NTT Docomo 發布的合法隱私服務應用程序。此外，該應用程序還會顯示 Play 商店中可用的 Secure Internet Security 應用程序的圖標。

當其中一個不安全的應用程序啟動時，它會要求 20 種不同的設備權限。之後，它可以根據從攻擊操作的命令和控制（C2，C＆C）服務器收到的命令，濫用其中的 12 個對設備執行侵入性操作。修改後的 FakeCop 惡意軟件能夠收集個人信息，包括聯繫人、短信、應用程序列表、帳戶信息、硬件詳細信息等。它還可以修改或刪除設備的短信數據庫。如果有指示，FakeCop 還可以發送 SMS 消息，而無需受害者進行任何交互。除了其間諜軟件功能外，該威脅還能夠以通知的形式顯示網絡犯罪分子提供的內容。

避免檢測

觀察到的 FakeCop 版本非常難以捉摸。威脅行為者使用定制的打包程序通過靜態檢測從安全解決方案中屏蔽威脅行為。黑客的自定義打包技術首先加密威脅的代碼，然後將其存儲在位於資產文件夾中的某個文件中。

此外，FakeCop 變體會檢查受感染設備上已經存在的安全解決方案。在與特定安全應用程序列表匹配後，FakeCOp 將生成通知，要求用戶修改、卸載或禁用合法安全程序。通過這種方式，威脅可確保其在受感染的 Android 系統上持久存在。