Fleckpe mobiili pahavara
Ametlikust Androidi rakenduste poest Google Play avastati uus Androidi tellimusel põhinev pahavara nimega Fleckpe. Pahavara on maskeeritud mitme legitiimse rakendusena ja seda on seni õnnestunud koguda üle 600 000 allalaadimise. Fleckpe on üks paljudest Androidi pahavara ohtudest, mis tellib kasutajatele pettuse teel tasulisi teenuseid ja genereerib volitamata tasusid. Sellise pahavara taga olevad ohus osalejad teenivad raha, saades osa igakuistest või ühekordsetest abonemenditasudest, mis saadakse tasuliste teenuste kaudu.
Kui ohus osalejad ise teenuseid osutavad, jäävad nad tõenäoliselt kogu tulu endale. Fleckpe avastus on uusim näide küberkurjategijatest, kes kasutavad ära mainekate rakenduspoodide usaldust ja populaarsust ähvardava tarkvara levitamiseks.
Sisukord
Fleckpe levib Google Play poe troojastatud rakenduste kaudu
Kuigi Fleckpe troojalane on olnud aktiivne juba üle aasta, avastati ja dokumenteeriti see alles hiljuti. Enamik Fleckpe ohvreid elab Tais, Malaisias, Indoneesias, Singapuris ja Poolas, kogu maailmas on leitud vähem nakkusi.
Seni on Google Play poest avastatud ja eemaldatud 11 erinevat Fleckpe pahavara kandvat rakendust. Need rakendused olid maskeeritud pildiredaktoriteks, fototeegideks, esmaklassilisteks taustapiltideks ja muudeks näiliselt seaduslikeks programmideks. Ähvardavate rakenduste nimed on kom.impressionism. pros.app, com.beauty.camera.plus.fotoredaktor, com.beauty.slimming.pro, com.picture.pildiraam, com. microchip.vodeoeditor, com.gif.camera.editor, com.apps.camera.photos, com.toolbox.photoeditor, com.hd.h4ks.wallpaper, com.draw.graffiti ja com.urox.opixe.nightcamreapro.
Kuigi kõik need rakendused on turult eemaldatud, on võimalik, et ründajad võivad luua muid rakendusi, mistõttu võib installimiste arv olla suurem kui praegu teada.
Fleckpe pahavara tellib volitamata kulukaid teenuseid
Kui kasutaja installib Fleckpe rakenduse, taotleb rakendus juurdepääsu teatise sisule. See juurdepääs on vajalik paljude tasuliste teenuste tellimuse kinnituskoodide jäädvustamiseks. Pärast rakenduse käivitamist dekodeerib see varjatud kasuliku koormuse, mis sisaldab halba koodi. Pärast käivitamist proovib see võtta ühendust ohus osaleja Command-and-Control (C2) serveriga, et saata nakatunud seadme kohta põhiteavet. Edastatud andmed hõlmavad mobiili riigikoodi (MCC) ja mobiilsidevõrgu koodi (MNC).
Vastuseks pakub C2 server veebisaidi aadressi, mille troojalane avab nähtamatus veebibrauseri aknas. Pahavara tellib ohvrile tasulise teenuse ilma tema teadmata või nõusolekuta. Kui kinnituskoodi on vaja, hangib Fleckpe selle seadme märguannetest ja esitab selle tellimisprotsessi lõpuleviimiseks peidetud ekraanile.
Vaatamata oma alatule eesmärgile pakuvad Fleckpe rakendused endiselt ohvrile oma reklaamitud funktsioone. See aitab varjata nende tegelikke kavatsusi ja vähendab kahtluse tekitamise tõenäosust.
Küberkurjategijad jätkavad Fleckpe Androidi pahavara värskendamist
Fleckpe Mobile'i pahavara uusimates versioonides on tehtud mõningaid muudatusi. Arendajad on teisaldanud olulise osa volitamata tellimusi teostavast koodist kasulikust koormusest algteeki. Kasulik koormus keskendub nüüd teatiste pealtkuulamisele ja veebilehtede kuvamisele.
Lisaks sisaldab kasuliku koormuse uusim versioon hägususkihti. Teadlased usuvad, et need muudatused tehti selleks, et muuta Fleckpe analüüsimine keerulisemaks ja suurendada selle kõrvalehoidmist.
Kuigi seda ei pruugita pidada nii ohtlikuks kui nuhkvara või andmete varastamise pahavara, võivad tellitavad troojalased siiski põhjustada märkimisväärset kahju. Need võivad põhjustada volitamata tasusid, koguda tundlikku teavet kasutaja kohta ja toimida sisenemispunktidena võimsamate kasulike koormate kasutuselevõtul.
