Ciberseguridad

Un spyware camuflado como antivirus la lía en Japón

FakeCop se ponía el disfraz de antivirus para pasar desapercibido por las herramientas de detección. Se hacía pasar por la popular herramienta de seguridad informática nipona Anshin Security.

Alberto Payo

Periodista

Guardar

Microsoft extiende a Android su antivirus Defender ATP para uso profesional
Microsoft extiende a Android su antivirus Defender ATP para uso profesional

Algunos lobos se visten de piel de cordero y otros directamente se camuflan como su peor enemigo para no levantar sospechas y hacer de las suyas. 

Esto es, precisamente, lo que ha estado haciendo un software espía, una nueva variante del ladrón de información de Android FakeCop. El spyware fue descubierto por primera vez por el investigador de seguridad japonés Yusuki Osume hace unos días. 

La clave es que FakeCop se ponía el disfraz de antivirus para 'irse de rositas'. En concreto, se hacía pasar por la popular herramienta de seguridad informática nipona Anshin Security.

Tras analizar exhaustivamente el malware los investgadores han encontrado que la nueva variante de software espía es capaz de recopilar SMS, contactos, información de cuentas y lista de aplicaciones, modificar o eliminar SMS en la base de datos del dispositivo, recopilar información de hardware del dispositivo (IMEI) y enviar SMS sin el conocimiento del usuario.

El software espía le solicita al usuario que otorgue numerosos permisos confidenciales para realizar esta función. Pero cuando los usuarios reciben tales solicitudes por parte del software antivirus, es más probable que las otorguen porque la seguridad generalmente necesita privilegios más altos para escanear y eliminar las amenazas detectadas.

FakeCop golpea a las víctimas mediante dos canales de distribución, uno a través de SMS con enlaces maliciosos y otro que se basa en correos electrónicos de phishing.

Solo puede quedar un antivirus

Algo bastante preocupante es que el malware solo fue detectado por 22 de los 62 motores antivirus de Virus Total, lo que muestra un esfuerzo por parte del actor de la amenaza para mantenerlo oculto. 

Una cosa muy curiosa es que FakeCop se encarga de escanear activamente la lista de aplicaciones del dispositivo y, si se encuentra alguna app de antivirus, directamente envía una notificación al usuario pidiéndole que la desinstale.

Las soluciones antivirus codificadas que el malware pide a los usuarios que borren incluyen Anshin Security, McAfee Security y Docomo Anshin Scan.