Fleckpe mobil malware
En ny Android-abonnementsbaseret malware, ved navn Fleckpe, er blevet opdaget på Google Play, den officielle Android-appbutik. Malwaren er camoufleret som flere legitime applikationer og har indtil videre formået at samle over 600.000 downloads. Fleckpe er en af mange Android-malwaretrusler, der svigagtigt abonnerer brugere på premium-tjenester og genererer uautoriserede debiteringer. Trusselaktører bag sådan malware tjener penge ved at modtage en del af de månedlige eller engangsabonnementsgebyrer, der genereres gennem premiumtjenesterne.
Hvis trusselsaktørerne selv driver tjenesterne, vil de sandsynligvis beholde hele omsætningen. Fleckpes opdagelse er det seneste eksempel på cyberkriminelle, der udnytter tilliden og populariteten hos velrenommerede applikationsbutikker til at distribuere truende software.
Indholdsfortegnelse
Fleckpe spreder sig gennem trojaniserede applikationer i Google Play Butik
Selvom Fleckpe-trojaneren har været aktiv i over et år, blev den først for nylig afsløret og dokumenteret. Størstedelen af Fleckpes ofre bor i Thailand, Malaysia, Indonesien, Singapore og Polen, med et mindre antal infektioner fundet på verdensplan.
Indtil videre er 11 forskellige applikationer med Fleckpe malware blevet opdaget og fjernet fra Google Play Butik. Disse applikationer var forklædt som billedredigeringsprogrammer, fotobiblioteker, premium wallpapers og andre tilsyneladende legitime programmer. Navnene på de truende applikationer er kom.impressionisme. pros.app, com.beauty.camera.plus.photo editor, com.beauty.slimming.pro, com.picture.picture frame, com. microchip.vodeoeditor, com.gif.camera.editor, com.apps.camera.photos, com.toolbox.photoeditor, com.hd.h4ks.wallpaper, com.draw.graffiti og com.urox.opixe.nightcamreapro.
Selvom alle disse applikationer er blevet fjernet fra markedspladsen, er det muligt, at angriberne kan oprette andre applikationer, så antallet af installationer kan være højere end det, der i øjeblikket er kendt.
Fleckpe Malware laver uautoriserede abonnementer på dyre tjenester
Når en bruger installerer en Fleckpe-app, anmoder applikationen om adgang til meddelelsesindhold. Denne adgang er påkrævet for at registrere abonnementsbekræftelseskoder på mange premium-tjenester. Når applikationen er startet, afkoder den en skjult nyttelast, der indeholder dårlig kode. Efter at være henrettet, forsøger den at kontakte trusselsaktørens Command-and-Control-server (C2) for at sende grundlæggende oplysninger om den inficerede enhed. De transmitterede data inkluderer Mobile Country Code (MCC) og Mobile Network Code (MNC).
Som svar giver C2-serveren en webstedsadresse, som trojaneren åbner i et usynligt webbrowservindue. Malwaren abonnerer offeret på en premium-tjeneste uden deres viden eller samtykke. Hvis der kræves en bekræftelseskode, henter Fleckpe den fra enhedens meddelelser og sender den på den skjulte skærm for at fuldføre abonnementsprocessen.
På trods af deres uhyggelige formål giver Fleckpe-applikationerne stadig deres annoncerede funktionalitet til offeret. Dette hjælper med at skjule deres sande hensigter og reducerer sandsynligheden for at rejse mistanke.
Cyberkriminelle fortsætter med at opdatere Fleckpe Android Malware
De seneste versioner af Fleckpe Mobile malware har undergået nogle ændringer. Udviklerne har flyttet en betydelig del af koden, der udfører de uautoriserede abonnementer, fra nyttelasten til det oprindelige bibliotek. Nyttelasten fokuserer nu på at opsnappe meddelelser og vise websider.
Desuden indeholder den seneste version af nyttelasten et lag af sløring. Forskere mener, at disse ændringer blev foretaget for at gøre Fleckpe sværere at analysere og øge dets undvigelse.
Selvom det måske ikke anses for at være så farligt som spyware eller datatyverende malware, kan abonnementstrojanske heste stadig forårsage betydelig skade. De kan resultere i uautoriserede debiteringer, indsamle følsomme oplysninger om brugeren og fungere som indgangspunkter for implementering af mere potente nyttelaster.
