بدافزار موبایل Fleckpe
یک بدافزار جدید مبتنی بر اشتراک اندروید به نام Fleckpe در گوگل پلی، فروشگاه رسمی اپلیکیشن اندروید، کشف شده است. این بدافزار به عنوان چندین برنامه قانونی استتار شده است و تاکنون موفق به جمع آوری بیش از 600000 دانلود شده است. Fleckpe یکی از بسیاری از تهدیدات بدافزار اندرویدی است که کاربران را به طور تقلبی مشترک سرویس های ممتاز می کند و هزینه های غیرمجاز ایجاد می کند. عوامل تهدید در پشت چنین بدافزارهایی با دریافت بخشی از هزینه اشتراک ماهانه یا یکباره ایجاد شده از طریق خدمات ممتاز درآمد کسب می کنند.
اگر عوامل تهدید خودشان خدمات را اجرا کنند، احتمالاً کل درآمد را حفظ خواهند کرد. کشف Fleckpe آخرین نمونه از مجرمان سایبری است که از اعتماد و محبوبیت فروشگاه های معتبر برنامه های کاربردی برای توزیع نرم افزارهای تهدید کننده سوء استفاده می کنند.
فهرست مطالب
Fleckpe از طریق برنامه های تروجانیزه شده در فروشگاه Google Play گسترش می یابد
اگرچه تروجان Fleckpe بیش از یک سال است که فعال بوده است، اما اخیراً کشف و مستند شده است. اکثر قربانیان فلکپه در تایلند، مالزی، اندونزی، سنگاپور و لهستان زندگی می کنند و تعداد کمتری از عفونت ها در سراسر جهان یافت شده است.
تاکنون 11 اپلیکیشن مختلف حامل بدافزار Fleckpe کشف و از فروشگاه گوگل پلی حذف شده اند. این برنامهها بهعنوان ویرایشگرهای تصویر، کتابخانههای عکس، والپیپرهای ممتاز و دیگر برنامههای به ظاهر قانونی پنهان شده بودند. نام برنامه های تهدید کننده com.impressionism است. pros.app، com.beauty.camera.plus.photo editor، com.beauty.slimming.pro، com.picture.قاب عکس، com. microchip.vodeoeditor، com.gif.camera.editor، com.apps.camera.photos، com.toolbox.photoeditor، com.hd.h4ks.wallpaper، com.draw.graffiti و com.urox.opixe.nightcamreapro.
اگرچه همه این برنامهها از بازار حذف شدهاند، اما ممکن است مهاجمان برنامههای دیگری ایجاد کنند، بنابراین تعداد نصبها میتواند بیشتر از آنچه در حال حاضر شناخته شده است باشد.
بدافزار Fleckpe اشتراک های غیرمجاز را برای خدمات گران قیمت ایجاد می کند
هنگامی که کاربر یک برنامه Fleckpe را نصب می کند، برنامه درخواست دسترسی به محتوای اعلان می کند. این دسترسی برای گرفتن کدهای تأیید اشتراک در بسیاری از خدمات پریمیوم مورد نیاز است. هنگامی که برنامه راه اندازی می شود، یک بار مخفی که حاوی کد بد است رمزگشایی می کند. پس از اجرا، سعی می کند با سرور فرماندهی و کنترل (C2) عامل تهدید تماس بگیرد تا اطلاعات اولیه در مورد دستگاه آلوده را ارسال کند. داده های ارسالی شامل کد کشور تلفن همراه (MCC) و کد شبکه تلفن همراه (MNC) است.
در پاسخ، سرور C2 آدرس وبسایتی را ارائه میکند که تروجان در یک پنجره مرورگر وب نامرئی باز میکند. بدافزار قربانی را بدون اطلاع یا رضایت وی در یک سرویس ممتاز مشترک می کند. در صورت نیاز به کد تأیید، Fleckpe آن را از اعلانهای دستگاه بازیابی میکند و برای تکمیل فرآیند اشتراک، آن را در صفحه پنهان ارسال میکند.
برنامه های Fleckpe علیرغم هدف پلید خود، هنوز هم عملکرد تبلیغاتی خود را به قربانی ارائه می دهند. این به پنهان کردن مقاصد واقعی آنها کمک می کند و احتمال ایجاد سوء ظن را کاهش می دهد.
مجرمان سایبری به به روز رسانی بدافزار اندروید Fleckpe ادامه می دهند
جدیدترین نسخه بدافزار Fleckpe Mobile دستخوش تغییراتی شده است. توسعه دهندگان بخش قابل توجهی از کد انجام اشتراک های غیرمجاز را از محموله به کتابخانه اصلی منتقل کرده اند. این بار بر روی رهگیری اعلانها و نمایش صفحات وب تمرکز دارد.
علاوه بر این، آخرین نسخه محموله شامل یک لایه مبهم است. محققان بر این باورند که این اصلاحات برای دشوارتر کردن تجزیه و تحلیل Fleckpe و افزایش فرار از آن انجام شده است.
در حالی که ممکن است به اندازه نرم افزارهای جاسوسی یا بدافزار سرقت داده خطرناک تلقی نشود، تروجان های اشتراک هنوز هم می توانند آسیب قابل توجهی به همراه داشته باشند. آنها میتوانند منجر به هزینههای غیرمجاز، جمعآوری اطلاعات حساس در مورد کاربر شوند و به عنوان نقاط ورودی برای استقرار محمولههای قویتر عمل کنند.