FakeCop Malware Android

Le malware FakeCop est une menace qui peut prendre le contrôle des appareils Android de la victime et effectuer de nombreuses actions intrusives. Il a été observé qu'une version avancée de FakeCop était déployée dans une campagne d'attaque ciblant les utilisateurs japonais. La menace était hébergée sur de nombreuses URL connectées à un service DNS gratuit nommé duckdns . Le même duckdns a également été abusé dans le cadre d'une campagne de phishing ciblant les utilisateurs du Japon. Les experts d'Infosec pensent également que FakeCop peut être propagé par SMS, d'une manière similaire à d'autres menaces de logiciels malveillants Android telles que Flubot et Medusa.

Détails de l'attaque

Pour tromper les utilisateurs, la menace FakeCop a été injectée dans plusieurs applications armées qui imitaient les solutions de sécurité légitimes populaires au Japon. Par exemple, une de ces fausses applications a été modélisée pour apparaître comme si elle provenait d'Anshin Security, une application de service de confidentialité légitime publiée par NTT Docomo. De plus, l'application affiche également l'icône de l'application Secure Internet Security disponible sur le Play Store.

Lorsque l'une des applications dangereuses est démarrée, elle demandera 20 autorisations d'appareil différentes. Par la suite, il peut abuser de 12 d'entre eux pour effectuer des actions invasives sur l'appareil en fonction des commandes reçues du serveur Command-and-Control (C2, C&C) de l'opération d'attaque. Le logiciel malveillant FakeCop modifié est capable de collecter des informations personnelles, notamment des contacts, des SMS, une liste d'applications, des informations de compte, des détails sur le matériel, etc. Il peut également modifier ou supprimer la base de données SMS de l'appareil. Si demandé, FakeCop peut également envoyer des messages SMS sans nécessiter aucune interaction de la part de la victime. Outre sa fonctionnalité de logiciel espion, la menace est également capable d'afficher le contenu fourni par les cybercriminels sous forme de notifications.

Éviter la détection

La version FakeCop observée est extrêmement insaisissable. L'acteur de la menace a utilisé un packer sur mesure pour masquer le comportement menaçant des solutions de sécurité à l'aide de la détection statique. Les techniques d'emballage personnalisées des pirates ont d'abord crypté le code de la menace, puis l'ont stocké dans un certain fichier situé dans le dossier des ressources.

De plus, la variante FakeCop effectue une vérification des solutions de sécurité déjà présentes sur l'appareil compromis. Lors d'une correspondance avec une liste d'applications de sécurité spécifiques, FakeCOp générera une notification demandant à l'utilisateur de modifier, désinstaller ou désactiver, les programmes de sécurité légitimes. De cette façon, la menace garantit sa persistance sur le système Android infecté.