Fleckpe Mobile Malware
Na Google Play, oficiálním obchodě s aplikacemi pro Android, byl objeven nový malware založený na předplatném pro Android s názvem Fleckpe. Malware je maskován jako několik legitimních aplikací a dosud se mu podařilo nashromáždit více než 600 000 stažení. Fleckpe je jednou z mnoha malwarových hrozeb pro Android, které podvodně předplácejí uživatelům prémiové služby a generují neoprávněné poplatky. Aktéři hrozeb za takovým malwarem vydělávají peníze tím, že obdrží část měsíčních nebo jednorázových poplatků za předplatné generované prostřednictvím prémiových služeb.
Pokud sami aktéři ohrožení provozují služby, pravděpodobně si ponechají celý výnos. Fleckpeův objev je nejnovějším příkladem kyberzločinců, kteří využívají důvěry a popularity renomovaných obchodů s aplikacemi k distribuci ohrožujícího softwaru.
Obsah
Fleckpe se šíří prostřednictvím trojanizovaných aplikací v Obchodě Google Play
Přestože je trojan Fleckpe aktivní již více než rok, byl odhalen a zdokumentován teprve nedávno. Většina Fleckpeových obětí žije v Thajsku, Malajsii, Indonésii, Singapuru a Polsku, s menším počtem nakažených po celém světě.
Dosud bylo objeveno a odstraněno z obchodu Google Play 11 různých aplikací nesoucích malware Fleckpe. Tyto aplikace byly maskovány jako editory obrázků, knihovny fotografií, prémiové tapety a další zdánlivě legitimní programy. Názvy hrozivých aplikací jsou kom.impresionismus. pros.app, com.beauty.camera.plus.photo editor, com.beauty.slimming.pro, com.picture.picture frame, com. microchip.vodeoeditor, com.gif.camera.editor, com.apps.camera.photos, com.toolbox.photoeditor, com.hd.h4ks.wallpaper, com.draw.graffiti a com.urox.opixe.nightcamreapro.
Přestože byly všechny tyto aplikace z trhu odstraněny, je možné, že útočníci vytvoří jiné aplikace, takže počet instalací může být vyšší, než je v současnosti známo.
Fleckpe Malware provádí neoprávněné předplatné drahých služeb
Když si uživatel nainstaluje aplikaci Fleckpe, aplikace požaduje přístup k obsahu oznámení. Tento přístup je vyžadován k zachycení potvrzovacích kódů předplatného u mnoha prémiových služeb. Jakmile je aplikace spuštěna, dekóduje skrytý náklad, který obsahuje špatný kód. Po spuštění se pokusí kontaktovat server Command-and-Control (C2) aktéra hrozby a odeslat mu základní informace o infikovaném zařízení. Přenášená data zahrnují Mobile Country Code (MCC) a Mobile Network Code (MNC).
V reakci na to server C2 poskytne webovou adresu, kterou trojský kůň otevře v neviditelném okně webového prohlížeče. Malware předplatí oběti prémiovou službu bez jejího vědomí nebo souhlasu. Pokud je vyžadován potvrzovací kód, Fleckpe jej načte z oznámení zařízení a odešle jej na skryté obrazovce, aby dokončil proces přihlášení.
Navzdory jejich hanebnému účelu, aplikace Fleckpe stále poskytují své inzerované funkce oběti. To pomáhá skrýt jejich skutečné úmysly a snižuje pravděpodobnost vyvolání podezření.
Kyberzločinci pokračují v aktualizaci malwaru Fleckpe Android
Nejnovější verze malwaru Fleckpe Mobile prošly určitými změnami. Vývojáři přesunuli významnou část kódu provádějícího neautorizovaná předplatná z užitečného zatížení do nativní knihovny. Užitečná zátěž se nyní zaměřuje na zachycování notifikací a zobrazování webových stránek.
Nejnovější verze užitečného zatížení navíc obsahuje vrstvu zmatku. Vědci se domnívají, že tyto úpravy byly provedeny proto, aby bylo Fleckpe obtížnější analyzovat a zvýšit jeho vyhýbavost.
I když to nemusí být považováno za tak nebezpečné jako spyware nebo malware kradoucí data, předplatné trojské koně mohou stále způsobit značné škody. Mohou vést k neoprávněným poplatkům, shromažďovat citlivé informace o uživateli a fungovat jako vstupní body pro nasazení výkonnějších užitečných zátěží.
