[[432142]]

據(jù)bleepingcomputer網(wǎng)站報道，上周，日本安全研究人員發(fā)現(xiàn)了一個新變種的 Android 信息竊取軟件——FakeCop，并警告說，惡意APK的傳播速度正在加快。

日本安全研究員Yusuke Osumi是該惡意軟件的發(fā)現(xiàn)者，當(dāng)時這款軟件正以網(wǎng)絡(luò)釣魚的方式進(jìn)行傳播。在VirusTotal上的62個防病毒引擎中，只有22個檢測到了惡意軟件，表明FakeCop具有良好的隱蔽性。

而在網(wǎng)絡(luò)安全公司Cyble的一份最新報告中，研究人員發(fā)現(xiàn)FakeCop會偽裝成日本流行的防病毒軟件——Anshin Security，以借此要求用戶授予大量敏感權(quán)限，包括：

• 收集短信、聯(lián)系人、賬號信息、應(yīng)用列表
• 修改或刪除設(shè)備數(shù)據(jù)庫中的短信
• 收集設(shè)備硬件信息 (IMEI)
• 在用戶不知情的情況下發(fā)送短信

FakeCop 請求的大量權(quán)限，來源：Cyble

當(dāng)用戶遇到防病毒類軟件的此類請求時，通常會予以批準(zhǔn)，因為安全類軟件通常需要更高的權(quán)限來掃描和刪除檢測到的威脅。

FakeCop使用自定義打包程序來隱藏行為痕跡，同時阻止靜態(tài)檢測。惡意代碼被Bitwise XOR加密并存儲在assets文件夾中，只有在被特定的應(yīng)用程序子類調(diào)用時才能被解壓。FakeCop 還會主動掃描設(shè)備應(yīng)用程序列表，如果發(fā)現(xiàn)如Anshin Security、McAfee Security 和 Docomo Anshin Scan在內(nèi)的防病毒程序，會要求用戶將其刪除。

目前，Cyble的OSINT研究揭示了兩種傳播渠道，一種是通過帶有惡意鏈接的短信，一種是依靠網(wǎng)絡(luò)釣魚電子郵件。

安全人員建議，用戶應(yīng)避免點擊未經(jīng)確認(rèn)的短信和電子郵件中的鏈接，并避免安裝Google Play商店之外的 APK 文件。此外，要定期確認(rèn)設(shè)備上的 Google Play Protect 是否處于活動狀態(tài)，并在安裝新應(yīng)用時仔細(xì)檢查權(quán)限請求。

參考來源：

https://www.bleepingcomputer.com/news/security/android-spyware-spreading-as-antivirus-software-in-japan/