Fleckpe Mobile Malware
Ένα νέο κακόβουλο λογισμικό που βασίζεται σε συνδρομές Android, με το όνομα Fleckpe, ανακαλύφθηκε στο Google Play, το επίσημο κατάστημα εφαρμογών Android. Το κακόβουλο λογισμικό είναι καμουφλαρισμένο ως πολλές νόμιμες εφαρμογές και μέχρι στιγμής έχει καταφέρει να συγκεντρώσει πάνω από 600.000 λήψεις. Το Fleckpe είναι μία από τις πολλές απειλές κακόβουλου λογισμικού Android που εγγράφουν χρήστες με δόλια συνδρομή σε premium υπηρεσίες και δημιουργούν μη εξουσιοδοτημένες χρεώσεις. Οι φορείς απειλών πίσω από τέτοιου είδους κακόβουλο λογισμικό κερδίζουν χρήματα λαμβάνοντας ένα μέρος των μηνιαίων ή εφάπαξ τελών συνδρομής που δημιουργούνται μέσω των υπηρεσιών premium.
Εάν οι ίδιοι οι φορείς απειλής λειτουργούν τις υπηρεσίες, είναι πιθανό να διατηρήσουν το σύνολο των εσόδων. Η ανακάλυψη του Fleckpe είναι το πιο πρόσφατο παράδειγμα κυβερνοεγκληματιών που εκμεταλλεύονται την εμπιστοσύνη και τη δημοτικότητα αξιόπιστων καταστημάτων εφαρμογών για τη διανομή απειλητικού λογισμικού.
Πίνακας περιεχομένων
Το Fleckpe διαδίδεται μέσω Trojanized Applications στο Google Play Store
Αν και το Fleckpe Trojan ήταν ενεργό για περισσότερο από ένα χρόνο, μόλις πρόσφατα αποκαλύφθηκε και τεκμηριώθηκε. Η πλειοψηφία των θυμάτων του Fleckpe κατοικεί στην Ταϊλάνδη, τη Μαλαισία, την Ινδονησία, τη Σιγκαπούρη και την Πολωνία, με μικρότερο αριθμό λοιμώξεων παγκοσμίως.
Μέχρι στιγμής, 11 διαφορετικές εφαρμογές που φέρουν το κακόβουλο λογισμικό Fleckpe έχουν ανακαλυφθεί και αφαιρεθεί από το Google Play store. Αυτές οι εφαρμογές μεταμφιέστηκαν σε προγράμματα επεξεργασίας εικόνων, βιβλιοθήκες φωτογραφιών, ταπετσαρίες υψηλής ποιότητας και άλλα φαινομενικά νόμιμα προγράμματα. Τα ονόματα των απειλητικών εφαρμογών είναι κομ.ιμπρεσιονισμός. pros.app, com.beauty.camera.plus.photo editor, com.beauty.slimming.pro, com.picture.picture frame, com. microchip.vodeoeditor, com.gif.camera.editor, com.apps.camera.photos, com.toolbox.photoeditor, com.hd.h4ks.wallpaper, com.draw.graffiti και com.urox.opixe.nightcamreapro.
Αν και όλες αυτές οι εφαρμογές έχουν αφαιρεθεί από την αγορά, είναι πιθανό οι εισβολείς να δημιουργήσουν άλλες εφαρμογές, επομένως ο αριθμός των εγκαταστάσεων θα μπορούσε να είναι μεγαλύτερος από αυτόν που είναι γνωστός επί του παρόντος.
Το κακόβουλο λογισμικό Fleckpe κάνει μη εξουσιοδοτημένες συνδρομές σε ακριβές υπηρεσίες
Όταν ένας χρήστης εγκαθιστά μια εφαρμογή Fleckpe, η εφαρμογή ζητά πρόσβαση στο περιεχόμενο ειδοποιήσεων. Αυτή η πρόσβαση απαιτείται για τη λήψη κωδικών επιβεβαίωσης συνδρομής σε πολλές premium υπηρεσίες. Μόλις εκκινηθεί η εφαρμογή, αποκωδικοποιεί ένα κρυφό ωφέλιμο φορτίο που περιέχει κακό κώδικα. Μόλις εκτελεστεί, προσπαθεί να επικοινωνήσει με τον διακομιστή Command-and-Control (C2) του παράγοντα απειλής για να στείλει βασικές πληροφορίες σχετικά με τη μολυσμένη συσκευή. Τα μεταδιδόμενα δεδομένα περιλαμβάνουν τον Κωδικό Κινητής Χώρας (MCC) και τον Κωδικό Δικτύου Κινητής Τηλεφωνίας (MNC).
Σε απόκριση, ο διακομιστής C2 παρέχει μια διεύθυνση ιστότοπου που ανοίγει ο Trojan σε ένα αόρατο παράθυρο του προγράμματος περιήγησης Ιστού. Το κακόβουλο λογισμικό εγγράφει το θύμα σε μια premium υπηρεσία χωρίς τη γνώση ή τη συγκατάθεσή του. Εάν απαιτείται κωδικός επιβεβαίωσης, το Fleckpe τον ανακτά από τις ειδοποιήσεις της συσκευής και τον υποβάλλει στην κρυφή οθόνη για να ολοκληρώσει τη διαδικασία συνδρομής.
Παρά τον κακό σκοπό τους, οι εφαρμογές Fleckpe εξακολουθούν να παρέχουν τη διαφημιζόμενη λειτουργικότητά τους στο θύμα. Αυτό βοηθά στην απόκρυψη των πραγματικών τους προθέσεων και μειώνει την πιθανότητα να εγείρουν υποψίες.
Οι εγκληματίες του κυβερνοχώρου συνεχίζουν να ενημερώνουν το κακόβουλο λογισμικό Fleckpe Android
Οι πιο πρόσφατες εκδόσεις του κακόβουλου λογισμικού Fleckpe Mobile έχουν υποστεί ορισμένες αλλαγές. Οι προγραμματιστές έχουν μετακινήσει ένα σημαντικό μέρος του κώδικα που πραγματοποιεί τις μη εξουσιοδοτημένες συνδρομές από το ωφέλιμο φορτίο στην εγγενή βιβλιοθήκη. Το ωφέλιμο φορτίο εστιάζει πλέον στην υποκλοπή ειδοποιήσεων και στην εμφάνιση ιστοσελίδων.
Επιπλέον, η τελευταία έκδοση του ωφέλιμου φορτίου περιλαμβάνει ένα επίπεδο συσκότισης. Οι ερευνητές πιστεύουν ότι αυτές οι τροποποιήσεις έγιναν για να κάνουν το Fleckpe πιο δύσκολο στην ανάλυση και να αυξήσουν την υπεκφυγή του.
Αν και μπορεί να μην θεωρείται τόσο επικίνδυνο όσο το λογισμικό υποκλοπής δεδομένων ή το κακόβουλο λογισμικό υποκλοπής δεδομένων, οι Trojans συνδρομής μπορούν να προκαλέσουν σημαντική βλάβη. Μπορούν να οδηγήσουν σε μη εξουσιοδοτημένες χρεώσεις, να συλλέγουν ευαίσθητες πληροφορίες για τον χρήστη και να λειτουργούν ως σημεία εισόδου για την ανάπτυξη πιο ισχυρών ωφέλιμων φορτίων.
