Programari maliciós mòbil Fleckpe
S'ha descobert un nou programari maliciós basat en subscripció d'Android, anomenat Fleckpe, a Google Play, la botiga oficial d'aplicacions d'Android. El programari maliciós està camuflat com a diverses aplicacions legítimes i fins ara ha aconseguit acumular més de 600.000 descàrregues. Fleckpe és una de les moltes amenaces de programari maliciós d'Android que subscriuen els usuaris de manera fraudulenta a serveis premium i generen càrrecs no autoritzats. Els actors d'amenaça darrere d'aquest programari maliciós guanyen diners rebent una part de les tarifes de subscripció mensuals o úniques generades a través dels serveis premium.
Si els mateixos actors de l'amenaça operen els serveis, és probable que es mantinguin tots els ingressos. El descobriment de Fleckpe és l'últim exemple de cibercriminals que exploten la confiança i la popularitat de les botigues d'aplicacions de bona reputació per distribuir programari amenaçador.
Taula de continguts
Fleckpe s’estén a través d’aplicacions troianitzades a Google Play Store
Tot i que el troià Fleckpe ha estat actiu durant més d'un any, només es va descobrir i documentar recentment. La majoria de les víctimes de Fleckpe resideixen a Tailàndia, Malàisia, Indonèsia, Singapur i Polònia, amb un nombre menor d'infeccions a tot el món.
Fins ara, s'han descobert i eliminat de la botiga de Google Play 11 aplicacions diferents que porten el programari maliciós Fleckpe. Aquestes aplicacions es van disfressar d'editors d'imatges, biblioteques de fotos, fons de pantalla premium i altres programes aparentment legítims. Els noms de les aplicacions amenaçadores són com.impressionisme. pros.app, com.beauty.camera.plus.editor de fotos, com.beauty.slimming.pro, com.picture.picture frame, com. microchip.vodeoeditor, com.gif.camera.editor, com.apps.camera.photos, com.toolbox.photoeditor, com.hd.h4ks.wallpaper, com.draw.graffiti i com.urox.opixe.nightcamreapro.
Tot i que totes aquestes aplicacions s'han eliminat del mercat, és possible que els atacants puguin crear altres aplicacions, de manera que el nombre d'instal·lacions podria ser superior al que es coneix actualment.
El programari maliciós Fleckpe fa subscripcions no autoritzades a serveis cars
Quan un usuari instal·la una aplicació Fleckpe, l'aplicació sol·licita accés al contingut de la notificació. Aquest accés és necessari per capturar codis de confirmació de subscripció en molts serveis premium. Un cop s'inicia l'aplicació, descodifica una càrrega útil oculta que conté codi dolent. Un cop executat, intenta contactar amb el servidor de comandament i control (C2) de l'actor de l'amenaça per enviar informació bàsica sobre el dispositiu infectat. Les dades transmeses inclouen el codi de país mòbil (MCC) i el codi de xarxa mòbil (MNC).
En resposta, el servidor C2 proporciona una adreça de lloc web que el troià obre en una finestra invisible del navegador web. El programari maliciós subscriu la víctima a un servei premium sense el seu coneixement ni consentiment. Si cal un codi de confirmació, el Fleckpe el recupera de les notificacions del dispositiu i l'envia a la pantalla oculta per completar el procés de subscripció.
Malgrat el seu propòsit nefast, les aplicacions Fleckpe encara ofereixen la seva funcionalitat anunciada a la víctima. Això ajuda a ocultar les seves veritables intencions i redueix la probabilitat de generar sospita.
Els cibercriminals continuen actualitzant el programari maliciós d’Android Fleckpe
Les versions més recents del programari maliciós Fleckpe Mobile han patit alguns canvis. Els desenvolupadors han traslladat una part important del codi realitzant les subscripcions no autoritzades de la càrrega útil a la biblioteca nativa. La càrrega útil ara se centra a interceptar notificacions i mostrar pàgines web.
A més, l'última versió de la càrrega útil inclou una capa d'ofuscament. Els investigadors creuen que aquestes modificacions es van fer per fer que Fleckpe fos més difícil d'analitzar i augmentar la seva evasivitat.
Tot i que és possible que no es consideri tan perillós com el programari espia o el malware que roba dades, els troians de subscripció encara poden causar danys importants. Poden donar lloc a càrrecs no autoritzats, recopilar informació sensible sobre l'usuari i actuar com a punts d'entrada per al desplegament de càrregues útils més potents.
