بدافزار موبایل Fleckpe

یک بدافزار جدید مبتنی بر اشتراک اندروید به نام Fleckpe در گوگل پلی، فروشگاه رسمی اپلیکیشن اندروید، کشف شده است. این بدافزار به عنوان چندین برنامه قانونی استتار شده است و تاکنون موفق به جمع آوری بیش از 600000 دانلود شده است. Fleckpe یکی از بسیاری از تهدیدات بدافزار اندرویدی است که کاربران را به طور تقلبی مشترک سرویس های ممتاز می کند و هزینه های غیرمجاز ایجاد می کند. عوامل تهدید در پشت چنین بدافزارهایی با دریافت بخشی از هزینه اشتراک ماهانه یا یکباره ایجاد شده از طریق خدمات ممتاز درآمد کسب می کنند.

اگر عوامل تهدید خودشان خدمات را اجرا کنند، احتمالاً کل درآمد را حفظ خواهند کرد. کشف Fleckpe آخرین نمونه از مجرمان سایبری است که از اعتماد و محبوبیت فروشگاه های معتبر برنامه های کاربردی برای توزیع نرم افزارهای تهدید کننده سوء استفاده می کنند.

Fleckpe از طریق برنامه های تروجانیزه شده در فروشگاه Google Play گسترش می یابد

اگرچه تروجان Fleckpe بیش از یک سال است که فعال بوده است، اما اخیراً کشف و مستند شده است. اکثر قربانیان فلکپه در تایلند، مالزی، اندونزی، سنگاپور و لهستان زندگی می کنند و تعداد کمتری از عفونت ها در سراسر جهان یافت شده است.

تاکنون 11 اپلیکیشن مختلف حامل بدافزار Fleckpe کشف و از فروشگاه گوگل پلی حذف شده اند. این برنامه‌ها به‌عنوان ویرایشگرهای تصویر، کتابخانه‌های عکس، والپیپرهای ممتاز و دیگر برنامه‌های به ظاهر قانونی پنهان شده بودند. نام برنامه های تهدید کننده com.impressionism است. pros.app، com.beauty.camera.plus.photo editor، com.beauty.slimming.pro، com.picture.قاب عکس، com. microchip.vodeoeditor، com.gif.camera.editor، com.apps.camera.photos، com.toolbox.photoeditor، com.hd.h4ks.wallpaper، com.draw.graffiti و com.urox.opixe.nightcamreapro.

اگرچه همه این برنامه‌ها از بازار حذف شده‌اند، اما ممکن است مهاجمان برنامه‌های دیگری ایجاد کنند، بنابراین تعداد نصب‌ها می‌تواند بیشتر از آنچه در حال حاضر شناخته شده است باشد.

بدافزار Fleckpe اشتراک های غیرمجاز را برای خدمات گران قیمت ایجاد می کند

هنگامی که کاربر یک برنامه Fleckpe را نصب می کند، برنامه درخواست دسترسی به محتوای اعلان می کند. این دسترسی برای گرفتن کدهای تأیید اشتراک در بسیاری از خدمات پریمیوم مورد نیاز است. هنگامی که برنامه راه اندازی می شود، یک بار مخفی که حاوی کد بد است رمزگشایی می کند. پس از اجرا، سعی می کند با سرور فرماندهی و کنترل (C2) عامل تهدید تماس بگیرد تا اطلاعات اولیه در مورد دستگاه آلوده را ارسال کند. داده های ارسالی شامل کد کشور تلفن همراه (MCC) و کد شبکه تلفن همراه (MNC) است.

در پاسخ، سرور C2 آدرس وب‌سایتی را ارائه می‌کند که تروجان در یک پنجره مرورگر وب نامرئی باز می‌کند. بدافزار قربانی را بدون اطلاع یا رضایت وی در یک سرویس ممتاز مشترک می کند. در صورت نیاز به کد تأیید، Fleckpe آن را از اعلان‌های دستگاه بازیابی می‌کند و برای تکمیل فرآیند اشتراک، آن را در صفحه پنهان ارسال می‌کند.

برنامه های Fleckpe علیرغم هدف پلید خود، هنوز هم عملکرد تبلیغاتی خود را به قربانی ارائه می دهند. این به پنهان کردن مقاصد واقعی آنها کمک می کند و احتمال ایجاد سوء ظن را کاهش می دهد.

مجرمان سایبری به به روز رسانی بدافزار اندروید Fleckpe ادامه می دهند

جدیدترین نسخه بدافزار Fleckpe Mobile دستخوش تغییراتی شده است. توسعه دهندگان بخش قابل توجهی از کد انجام اشتراک های غیرمجاز را از محموله به کتابخانه اصلی منتقل کرده اند. این بار بر روی رهگیری اعلان‌ها و نمایش صفحات وب تمرکز دارد.

علاوه بر این، آخرین نسخه محموله شامل یک لایه مبهم است. محققان بر این باورند که این اصلاحات برای دشوارتر کردن تجزیه و تحلیل Fleckpe و افزایش فرار از آن انجام شده است.

در حالی که ممکن است به اندازه نرم افزارهای جاسوسی یا بدافزار سرقت داده خطرناک تلقی نشود، تروجان های اشتراک هنوز هم می توانند آسیب قابل توجهی به همراه داشته باشند. آن‌ها می‌توانند منجر به هزینه‌های غیرمجاز، جمع‌آوری اطلاعات حساس در مورد کاربر شوند و به عنوان نقاط ورودی برای استقرار محموله‌های قوی‌تر عمل کنند.