نوع جدیدی از بدافزار سرقت اطلاعات اندرویدی به نام FakeCop توسط محققان امنیتی ژاپنی کشف شده است که افزایش توزیع APKهای مخرب را گوشزد میکند.
در ماه اکتبر این بدافزار برای اولین بار شناسایی شده و از طریق کمپینهای فیشینگی که هویت شرکت KDDI را جعل میکنند، توزیع میشود. علاوه بر این، در ابتدا تنها ۲۲ آنتی ویروس از ۶۲ مورد ثبت شده در سایت ویروس توتال موفق به کشف آن شدند که نشان از تلاش بالای عاملان تهدید برای مخفی ماندن است.
تهدیدی در قالب آنتی ویروس ژاپنی
در گزارشی جدید از سوی شرکت امنیت سایبری Cyble، محققان این بدافزار که خود را به جای نرمافزار امنیتی Anshin، آنتی ویروس محبوب ژاپنی معرفی می کند، FakeCop نامیدهاند. پس از تحلیل این بدافزار، مشخص شد که این جاسوسافزار دارای قابلیتهای زیر است:
- جمعآوری پیامکها، مشخصات مخاطبان، اطلاعات تماس و فهرست برنامهها
- تغییر و یا حذف پیامکها در پایگاه داده دستگاه
- جمعآوری اطلاعات سختافزاری دستگاه (IMEI)
- ارسال پیامک بدون اطلاع کاربر
این جاسوسافزار از کاربر تعداد بیشماری از مجوزهای دسترسی حساس را درخواست میکند. وقتی کاربران با چنین درخواستهایی توسط آنتیویروس جعلی مواجه میشوند، به احتمال زیاد به آنها پاسخ مثبت میدهند زیرا نرمافزارهای امنیتی معمولاً به سطح دسترسی بالاتری برای اسکن و حذف تهدیدهای شناسایی شده نیاز دارند.
تلاش برای فرار از شناسایی
نویسندگان بدافزار از یک packer سفارشی استفاده کردهاند تا رفتار حقیقی این برنامه را مخفی کنند که در عین حال مانع از شناسایی استاتیک میشود. علاوه بر این، FakeCop به صورت فعال در حال اسکن فهرست برنامههای نصبی است و اگر هر ضد بدافزار دیگری را بیاید، از کاربر میخواهد که آنها را حذف کنند.
نحوه توزیع این بدافزار چگونه است؟
به نظر میرسد دو کانال توزیع وجود دارد که یکی از طریق پیامکهای حاوی لینک مخرب است و دیگری از طریق ایمیلهای فیشینگ ارسالی به کاربر. دینامیک رایگان DNS به نام ‘duckdns.org’ که به عنوان مکانیزم ارسال این برنامه به کار میرود، پیش از این نیز برای توزیع بدافزارهای Medusa و Flubot به کار رفته، بنابراین ممکن است کمپین فعلی به همان اپراتورها مرتبط باشد.
