FakeCop Android-Malware
Die FakeCop-Malware ist eine Bedrohung, die die Kontrolle über die Android-Geräte des Opfers übernehmen und zahlreiche aufdringliche Aktionen ausführen kann. Es wurde beobachtet, dass eine erweiterte Version von FakeCop in einer Angriffskampagne gegen japanische Benutzer eingesetzt wird. Die Bedrohung wurde auf zahlreichen URLs gehostet, die mit einem kostenlosen DNS-Dienst namens duckdns verbunden waren. Dieselben duckdns wurden auch im Rahmen einer Phishing-Kampagne missbraucht, die auf Nutzer aus Japan abzielte. Experten von Infosec glauben auch, dass FakeCop über SMS verbreitet werden kann, ähnlich wie andere Android-Malware-Bedrohungen wie Flubot und Medusa.
Angriffsdetails
Um Benutzer zu täuschen, wurde die FakeCop-Bedrohung in mehrere bewaffnete Anwendungen injiziert, die in Japan beliebte legitime Sicherheitslösungen imitierten. Zum Beispiel wurde eine solche gefälschte Anwendung so modelliert, dass sie so aussieht, als stamme sie von Anshin Security, einer legitimen Datenschutzdienstanwendung, die von NTT Docomo veröffentlicht wurde. Darüber hinaus zeigt die Anwendung auch das Symbol für die im Play Store verfügbare Secure Internet Security-Anwendung an.
Wenn eine der unsicheren Anwendungen gestartet wird, fragt sie nach 20 verschiedenen Geräteberechtigungen. Danach kann es 12 von ihnen missbrauchen, um invasive Aktionen auf dem Gerät durchzuführen, abhängig von den Befehlen, die vom Command-and-Control-Server (C2, C&C) der Angriffsoperation empfangen werden. Die modifizierte FakeCop-Malware ist in der Lage, persönliche Informationen wie Kontakte, SMS, App-Liste, Kontoinformationen, Hardwaredetails und mehr zu sammeln. Es kann auch die SMS-Datenbank des Geräts ändern oder löschen. Auf Anweisung kann FakeCop auch SMS-Nachrichten senden, ohne dass das Opfer eingreifen muss. Neben der Spyware-Funktionalität ist die Bedrohung auch in der Lage, von Cyberkriminellen bereitgestellte Inhalte in Form von Benachrichtigungen anzuzeigen.
Erkennung vermeiden
Die beobachtete FakeCop-Version ist extrem schwer fassbar. Der Bedrohungsakteur verwendete einen maßgeschneiderten Packer, um das bedrohliche Verhalten von Sicherheitslösungen mit statischer Erkennung zu maskieren. Die benutzerdefinierten Packtechniken der Hacker verschlüsselten zuerst den Code der Bedrohung und speicherten ihn dann in einer bestimmten Datei im Asset-Ordner.
Darüber hinaus führt die Variante FakeCop eine Prüfung auf bereits vorhandene Sicherheitslösungen auf dem kompromittierten Gerät durch. Bei Übereinstimmung mit einer Liste bestimmter Sicherheits-Apps generiert FakeCop eine Benachrichtigung, in der der Benutzer aufgefordert wird, die legitimen Sicherheitsprogramme zu ändern, entweder zu deinstallieren oder zu deaktivieren. Auf diese Weise stellt die Bedrohung ihre Persistenz auf dem infizierten Android-System sicher.
