Шпионское ПО для Android распространяется как антивирусное ПО в Японии

25
Популярные игры для Android, работающие без интернета

Японские исследователи безопасности заметили новый вариант Android-кражи информации под названием FakeCop. Они предупреждают, что распространение вредоносного APK-файла набирает обороты.

Это вредоносное ПО было впервые обнаружено японским исследователем безопасности Юсуке Осуми на прошлой неделе. Оно распространяется в рамках фишинговых кампаний, выдавая себя за KDDI.

Кроме того, вредоносное ПО обнаруживается только 22 из 62 антивирусных движков на VirusTotal, что свидетельствует о согласованных усилиях злоумышленника, направленных на то, чтобы оставаться скрытым.

Маскируется как популярный инструмент безопасности

В новом отчете компании Cyble, занимающейся кибербезопасностью, исследователи окрестили вредоносное ПО «FakeCop» и заявили, что оно маскируется под «Anshin Security», популярный антивирусный продукт в Японии.

Проанализировав вредоносное ПО, исследователи заявляют, что новый вариант шпионского ПО обладает следующими возможностями:

  • Собирайте SMS, контакты, информацию об аккаунтах и ​​список приложений.
  • Изменить или удалить SMS в базе данных устройства
  • Сбор информации об оборудовании устройства (IMEI)
  • Отправляйте SMS без ведома пользователя

Шпионское ПО просит пользователя предоставить многочисленные конфиденциальные разрешения для выполнения этой функции, как показано ниже.

Когда антивирусное программное обеспечение встречает пользователей с такими запросами, они с большей вероятностью их выполнят, поскольку программному обеспечению безопасности обычно требуются более высокие привилегии для сканирования и удаления обнаруженных угроз.

Попытки избежать обнаружения

Авторы вредоносных программ также используют специальный упаковщик, чтобы скрыть фактическое поведение своего приложения, а также препятствовать статическому обнаружению.

Вредоносный код зашифрован с помощью Bitwise XOR и хранится в файле в папке с ресурсами, и его можно распаковать только в том случае, если он вызван определенным подклассом приложения.

Кроме того, FakeCop активно сканирует список приложений на устройстве и, если обнаруживаются какие-либо антивирусные приложения, отправляет пользователю уведомление с просьбой удалить их.

К числу жестко запрограммированных антивирусных решений, которые вредоносное ПО будет предлагать пользователям удалить, относятся Anshin Security, McAfee Security и Docomo Anshin Scan.

Что касается того, как FakeCop достигает жертв, OSINT-исследование Cyble выявило два канала распространения: один через SMS с вредоносными ссылками, а другой — через фишинговые электронные письма.

Бесплатный динамический DNS duckdns.org, используемый в качестве механизма доставки,  ранее использовался  для распространения Medusa и Flubot, поэтому возможно, что текущая кампания связана с одними и теми же операторами.

Как правило, избегайте нажатия на URL-ссылки, которые приходят по незапрашиваемым SMS и электронной почте, и воздерживайтесь от установки файлов APK из-за пределов Google Play Store.

Кроме того, периодически проверяйте и подтверждайте, что Google Play Protect активен на вашем устройстве, и всегда внимательно изучайте запросы разрешений при установке нового приложения.

Последнее обновление 10 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии