Fleckpe mobilni zlonamjerni softver
Novi malware temeljen na Android pretplati, pod nazivom Fleckpe, otkriven je na Google Playu, službenoj trgovini Android aplikacija. Zlonamjerni softver kamufliran je u nekoliko legitimnih aplikacija i do sada je uspio prikupiti preko 600 000 preuzimanja. Fleckpe je jedna od mnogih prijetnji zlonamjernim softverom za Android koje na prijevaru pretplaćuju korisnike na premium usluge i generiraju neovlaštene troškove. Akteri prijetnji koji stoje iza takvog zlonamjernog softvera zarađuju primajući dio mjesečnih ili jednokratnih pretplatničkih naknada generiranih putem premium usluga.
Ako akteri prijetnji sami upravljaju uslugama, vjerojatno će zadržati cijeli prihod. Fleckpeovo otkriće najnoviji je primjer kibernetičkih kriminalaca koji iskorištavaju povjerenje i popularnost renomiranih trgovina aplikacijama za distribuciju prijetećeg softvera.
Sadržaj
Fleckpe se širi putem trojaniziranih aplikacija u trgovini Google Play
Iako je trojanac Fleckpe aktivan više od godinu dana, tek je nedavno otkriven i dokumentiran. Većina žrtava Fleckpea živi u Tajlandu, Maleziji, Indoneziji, Singapuru i Poljskoj, s manjim brojem infekcija pronađenim diljem svijeta.
Do sada je otkriveno i uklonjeno 11 različitih aplikacija s Fleckpe malwareom iz trgovine Google Play. Te su aplikacije bile prerušene u uređivače slika, biblioteke fotografija, vrhunske pozadine i druge naizgled legitimne programe. Nazivi prijetećih aplikacija su kom.impresionizam. pros.app, com.beauty.camera.plus.uređivač fotografija, com.beauty.slimming.pro, com.picture.okvir za slike, com. microchip.vodeoeditor, com.gif.camera.editor, com.apps.camera.photos, com.toolbox.photoeditor, com.hd.h4ks.wallpaper, com.draw.graffiti i com.urox.opixe.nightcamreapro.
Iako su sve ove aplikacije uklonjene s tržišta, moguće je da napadači naprave druge aplikacije, pa bi broj instalacija mogao biti veći od trenutno poznatog.
Zlonamjerni softver Fleckpe neovlašteno se pretplaćuje na skupe usluge
Kada korisnik instalira aplikaciju Fleckpe, aplikacija zahtijeva pristup sadržaju obavijesti. Ovaj pristup je potreban za snimanje kodova potvrde pretplate na mnogim premium uslugama. Nakon što se aplikacija pokrene, ona dekodira skriveni sadržaj koji sadrži loš kod. Nakon što se izvrši, pokušava kontaktirati poslužitelj za upravljanje i kontrolu (C2) aktera prijetnje kako bi poslao osnovne informacije o zaraženom uređaju. Preneseni podaci uključuju mobilni kod zemlje (MCC) i kod mobilne mreže (MNC).
Kao odgovor, C2 poslužitelj daje adresu web stranice koju trojanac otvara u nevidljivom prozoru web preglednika. Zlonamjerni softver pretplaćuje žrtvu na premium uslugu bez njezina znanja ili pristanka. Ako je potreban potvrdni kod, Fleckpe ga dohvaća iz obavijesti uređaja i šalje na skriveni zaslon kako bi dovršio postupak pretplate.
Unatoč svojoj podloj namjeni, Fleckpe aplikacije i dalje žrtvi pružaju svoju oglašenu funkcionalnost. To pomaže prikriti njihove prave namjere i smanjuje vjerojatnost izazivanja sumnje.
Cyberkriminalci nastavljaju ažurirati zlonamjerni softver Fleckpe za Android
Najnovije verzije zlonamjernog softvera Fleckpe Mobile doživjele su neke promjene. Programeri su premjestili značajan dio koda koji provodi neovlaštene pretplate iz korisnog sadržaja u izvornu biblioteku. Korisni teret sada se fokusira na presretanje obavijesti i prikazivanje web stranica.
Štoviše, najnovija verzija korisnog opterećenja uključuje sloj maskiranja. Istraživači vjeruju da su te izmjene napravljene kako bi Fleckpe bilo teže analizirati i kako bi se povećala njegova izbjegavanje.
Iako se možda ne smatra opasnim kao špijunski softver ili zlonamjerni softver za krađu podataka, pretplatnički trojanci ipak mogu prouzročiti značajnu štetu. Oni mogu rezultirati neovlaštenim terećenjima, prikupljati osjetljive informacije o korisniku i djelovati kao ulazne točke za implementaciju moćnijih korisnih opterećenja.
