Fleckpe Mobile -haittaohjelma
Uusi Android-tilauspohjainen haittaohjelma, nimeltään Fleckpe, on löydetty Google Playsta, virallisesta Android-sovelluskaupasta. Haittaohjelma on naamioitu useiksi laillisiksi sovelluksiksi, ja se on tähän mennessä onnistunut keräämään yli 600 000 latausta. Fleckpe on yksi monista Android-haittaohjelmauhkista, jotka vilpillisesti tilaavat käyttäjiä premium-palveluita ja luovat luvattomia maksuja. Tällaisten haittaohjelmien takana olevat uhkatekijät ansaitsevat rahaa vastaanottamalla osan premium-palveluiden kautta syntyvistä kuukausi- tai kertamaksuista.
Jos uhkatoimijat itse operoivat palveluita, he todennäköisesti pitävät koko tuottonsa. Fleckpen löytö on viimeisin esimerkki kyberrikollisista, jotka käyttävät hyväkseen hyvämaineisten sovelluskauppojen luottamusta ja suosiota levittääkseen uhkaavia ohjelmistoja.
Sisällysluettelo
Fleckpe leviää Google Play Kaupan troijalaissovellusten kautta
Vaikka Fleckpe-troijalainen on ollut aktiivinen yli vuoden, se paljastettiin ja dokumentoitiin vasta äskettäin. Suurin osa Fleckpen uhreista asuu Thaimaassa, Malesiassa, Indonesiassa, Singaporessa ja Puolassa, ja pienempi määrä tartuntoja on löydetty maailmanlaajuisesti.
Tähän mennessä Google Play -kaupasta on löydetty ja poistettu 11 erilaista Fleckpe-haittaohjelmaa sisältävää sovellusta. Nämä sovellukset naamioituivat kuvankäsittelyohjelmiksi, valokuvakirjastoiksi, premium-taustakuviksi ja muiksi näennäisesti laillisiksi ohjelmiksi. Uhkavien sovellusten nimet ovat com.impressionism. pros.app, com.beauty.camera.plus.kuvaeditori, com.beauty.slimming.pro, com.picture.picture frame, com. microchip.vodeoeditor, com.gif.camera.editor, com.apps.camera.photos, com.toolbox.photoeditor, com.hd.h4ks.wallpaper, com.draw.graffiti ja com.urox.opixe.nightcamreapro.
Vaikka kaikki nämä sovellukset on poistettu markkinoilta, on mahdollista, että hyökkääjät voivat luoda muita sovelluksia, joten asennusten määrä voi olla suurempi kuin tällä hetkellä tiedetään.
Fleckpe-haittaohjelma tekee luvattomia tilauksia kalliille palveluille
Kun käyttäjä asentaa Fleckpe-sovelluksen, sovellus pyytää pääsyä ilmoitussisältöön. Tämä käyttöoikeus vaaditaan tilausvahvistuskoodien tallentamiseen monissa premium-palveluissa. Kun sovellus käynnistetään, se purkaa piilotetun hyötykuorman, joka sisältää huonoa koodia. Kun se suoritetaan, se yrittää ottaa yhteyttä uhkatekijän Command-and-Control (C2) -palvelimeen lähettääkseen perustiedot tartunnan saaneesta laitteesta. Lähetetyt tiedot sisältävät matkapuhelimen maakoodin (MCC) ja mobiiliverkon koodin (MNC).
Vastauksena C2-palvelin tarjoaa verkkosivuston osoitteen, jonka troijalainen avaa näkymättömässä verkkoselainikkunassa. Haittaohjelma tilaa uhrin premium-palvelun hänen tietämättään tai suostumatta. Jos vahvistuskoodi vaaditaan, Fleckpe hakee sen laitteen ilmoituksista ja lähettää sen piilotettuun ruutuun tilausprosessin viimeistelemiseksi.
Huolimatta pahasta tarkoituksestaan Fleckpe-sovellukset tarjoavat silti uhrille mainostetut toiminnot. Tämä auttaa salaamaan heidän todelliset aikeensa ja vähentää todennäköisyyttä herättää epäilyksiä.
Kyberrikolliset jatkavat Fleckpe Android -haittaohjelman päivittämistä
Fleckpe Mobile -haittaohjelman uusimmat versiot ovat kokeneet joitain muutoksia. Kehittäjät ovat siirtäneet merkittävän osan luvattomat tilaukset suorittavasta koodista hyötykuormasta natiivikirjastoon. Hyötykuorma keskittyy nyt ilmoitusten sieppaamiseen ja verkkosivujen näyttämiseen.
Lisäksi hyötykuorman uusin versio sisältää hämäräkerroksen. Tutkijat uskovat, että nämä muutokset tehtiin Fleckpen analysoimiseksi ja sen välttämiseksi.
Vaikka sitä ei ehkä pidetä yhtä vaarallisena kuin vakoiluohjelmat tai tietoja varastavat haittaohjelmat, tilatut troijalaiset voivat silti aiheuttaa merkittävää haittaa. Ne voivat johtaa luvattomiin maksuihin, kerätä arkaluonteisia tietoja käyttäjästä ja toimia sisääntulopisteinä tehokkaampien hyötykuormien käyttöönotossa.
