תוכנה זדונית ניידת של Fleckpe

תוכנה זדונית חדשה מבוססת מנוי אנדרואיד, בשם Fleckpe, התגלתה ב-Google Play, חנות האפליקציות הרשמית של אנדרואיד. התוכנה הזדונית מוסווית כמספר יישומים לגיטימיים ועד כה הצליחה לצבור למעלה מ-600,000 הורדות. Fleckpe הוא אחד מאיומי תוכנות זדוניות רבות של אנדרואיד אשר מרשמים משתמשים במינוי לשירותי פרימיום ויוצרים חיובים לא מורשים. שחקנים מאיימים מאחורי תוכנות זדוניות כאלה מרוויחים כסף על ידי קבלת חלק מדמי המנוי החודשיים או החד-פעמיים שנוצרו באמצעות שירותי הפרימיום.

אם גורמי האיום עצמם מפעילים את השירותים, הם צפויים לשמור על כל ההכנסות. התגלית של Fleckpe היא הדוגמה האחרונה של פושעי סייבר המנצלים את האמון והפופולריות של חנויות יישומים מכובדות כדי להפיץ תוכנות מאיימות.

Fleckpe מתפשט באמצעות יישומים עם טרויאניות בחנות Google Play

למרות שהטרויאן Fleckpe פעיל כבר יותר משנה, הוא נחשף ותועד רק לאחרונה. רוב הקורבנות של פלקפה מתגוררים בתאילנד, מלזיה, אינדונזיה, סינגפור ופולין, עם מספר קטן יותר של זיהומים שנמצאו ברחבי העולם.

עד כה, 11 אפליקציות שונות הנושאות את התוכנה הזדונית של Fleckpe התגלו והוסרו מחנות Google Play. יישומים אלה היו מוסווים לעורכי תמונות, ספריות תמונות, טפטים מובחרים ותוכניות לגיטימיות אחרות לכאורה. שמות היישומים המאיימים הם קומפרסיוניזם. pros.app, com.beauty.camera.plus.עורך תמונות, com.beauty.slimming.pro, com.picture.picture frame, com. microchip.vodeoeditor, com.gif.camera.editor, com.apps.camera.photos, com.toolbox.photoeditor, com.hd.h4ks.wallpaper, com.draw.graffiti ו-com.urox.opixe.nightcamreapro.

למרות שכל היישומים הללו הוסרו מהשוק, ייתכן שהתוקפים עשויים ליצור יישומים אחרים, כך שמספר ההתקנות יכול להיות גבוה ממה שידוע כיום.

התוכנה הזדונית של Fleckpe עושה הרשמות לא מורשות לשירותים יקרים

כאשר משתמש מתקין אפליקציית Fleckpe, האפליקציה מבקשת גישה לתוכן הודעות. גישה זו נדרשת כדי ללכוד קודי אישור מנוי בשירותי פרימיום רבים. ברגע שהאפליקציה מופעלת, היא מפענחת מטען נסתר שמכיל קוד שגוי. לאחר ביצועו, הוא מנסה ליצור קשר עם שרת ה-Command-and-Control (C2) של שחקן האיום כדי לשלוח מידע בסיסי על המכשיר הנגוע. הנתונים המועברים כוללים את קוד המדינה הנייד (MCC) וקוד הרשת הניידת (MNC).

בתגובה, שרת C2 מספק כתובת אתר שהטרויאני פותח בחלון דפדפן אינטרנט בלתי נראה. התוכנה הזדונית רושמת את הקורבן לשירות פרימיום ללא ידיעתו או הסכמתו. אם נדרש קוד אישור, ה-Fleckpe מאחזר אותו מההתראות של המכשיר ומגיש אותו במסך הנסתר כדי להשלים את תהליך ההרשמה.

למרות מטרתם המרושעת, יישומי Fleckpe עדיין מספקים את הפונקציונליות המפורסמת שלהם לקורבן. זה עוזר להסתיר את כוונותיהם האמיתיות ומפחית את הסבירות להעלאת חשד.

פושעי סייבר ממשיכים לעדכן את תוכנת זדונית אנדרואיד של Fleckpe

הגרסאות העדכניות ביותר של התוכנה הזדונית של Fleckpe Mobile עברו כמה שינויים. המפתחים העבירו חלק משמעותי מהקוד שמבצע את המנויים הלא מורשים מהמטען לספרייה המקורית. המטען מתמקד כעת ביירוט הודעות והצגת דפי אינטרנט.

יתר על כן, הגרסה העדכנית ביותר של המטען כוללת שכבה של ערפול. חוקרים מאמינים שהשינויים הללו נעשו כדי להפוך את פלק לקשה יותר לניתוח ולהגביר את ההתחמקות שלו.

למרות שזה לא יכול להיחשב כמסוכן כמו תוכנות ריגול או תוכנות זדוניות גניבת נתונים, סוסים טרויאניים מנויים עדיין יכולים לגרום לנזק משמעותי. הם עלולים לגרום לחיובים לא מורשים, לאסוף מידע רגיש על המשתמש ולשמש כנקודות כניסה לפריסה של מטענים חזקים יותר.