FakeCop Android Malware

El malware FakeCop es una amenaza que puede tomar el control de los dispositivos Android de la víctima y realizar numerosas acciones intrusivas. Se ha observado que se implementa una versión avanzada de FakeCop en una campaña de ataque dirigida a usuarios japoneses. La amenaza estaba alojada en numerosas URL conectadas a un servicio de DNS gratuito llamado duckdns . También se ha abusado de los mismos duckdns como parte de una campaña de phishing dirigida a usuarios de Japón. Los expertos de Infosec también creen que FakeCop se puede propagar a través de SMS, de manera similar a otras amenazas de malware de Android como Flubot y Medusa.

Detalles del Ataque

Para engañar a los usuarios, la amenaza FakeCop se inyectó en varias aplicaciones armadas que imitaban soluciones de seguridad legítimas populares en Japón. Por ejemplo, una de esas aplicaciones falsas se modeló para que pareciera de Anshin Security, una aplicación de servicio de privacidad legítima publicada por NTT Docomo. Además, la aplicación también muestra el icono de la aplicación Secure Internet Security disponible en Play Store.

Cuando se inicia una de las aplicaciones inseguras, solicitará 20 permisos de dispositivo diferentes. Posteriormente, puede abusar de 12 de ellos para realizar acciones invasivas en el dispositivo según los comandos recibidos del servidor de Comando y Control (C2, C&C) de la operación de ataque. El malware FakeCop modificado es capaz de recopilar información personal, incluidos contactos, SMS, lista de aplicaciones, información de cuenta, detalles de hardware y más. También puede modificar o eliminar la base de datos de SMS del dispositivo. Si se le indica, FakeCop también puede enviar mensajes SMS sin requerir ninguna interacción de la víctima. Aparte de su funcionalidad de software espía, la amenaza también es capaz de mostrar contenido proporcionado por los ciberdelincuentes en forma de notificaciones.

Evitar la Detección

La versión de FakeCop observada es extremadamente esquiva. El actor de amenazas usó un empaquetador hecho a medida para enmascarar el comportamiento amenazante de las soluciones de seguridad mediante detección estática. Las técnicas de empaquetado personalizadas de los piratas informáticos primero cifraron el código de la amenaza y luego lo almacenaron dentro de un determinado archivo ubicado en la carpeta de activos.

Además, la variante FakeCop realiza una verificación de las soluciones de seguridad ya presentes en el dispositivo comprometido. Al coincidir con una lista de aplicaciones de seguridad específicas, FakeCOp generará una notificación pidiendo al usuario que modifique, desinstale o deshabilite los programas de seguridad legítimos. De esta forma, la amenaza asegura su persistencia en el sistema Android infectado.