Fleckpe Mobile Malware
Egy új Android-előfizetésen alapuló rosszindulatú programot, a Fleckpe-t fedezték fel a Google Playen, a hivatalos Android-alkalmazások áruházában. A rosszindulatú program számos legitim alkalmazásként van álcázva, és eddig több mint 600 000 letöltést sikerült felhalmoznia. A Fleckpe egyike a sok androidos rosszindulatú programnak, amelyek csalárd módon fizetnek elő prémium szolgáltatásokra, és jogosulatlan költségeket generálnak. Az ilyen rosszindulatú programok mögött meghúzódó fenyegetés szereplői azzal keresnek pénzt, hogy megkapják a prémium szolgáltatásokon keresztül generált havi vagy egyszeri előfizetési díjak egy részét.
Ha a fenyegetés szereplői maguk működtetik a szolgáltatásokat, akkor valószínűleg megtartják a teljes bevételt. Fleckpe felfedezése a legújabb példa arra, hogy a kiberbűnözők kihasználják a jó hírű alkalmazásboltok bizalmát és népszerűségét fenyegető szoftverek terjesztésére.
Tartalomjegyzék
A Fleckpe a Google Play Áruházban található trójai alkalmazásokon keresztül terjed
Bár a Fleckpe trójai már több mint egy éve aktív, csak nemrég fedezték fel és dokumentálták. Fleckpe áldozatainak többsége Thaiföldön, Malajziában, Indonéziában, Szingapúrban és Lengyelországban él, és világszerte kisebb számú fertőzést találtak.
Eddig 11 különböző, Fleckpe kártevőt hordozó alkalmazást fedeztek fel és távolítottak el a Google Play Áruházból. Ezeket az alkalmazásokat képszerkesztőnek, fotókönyvtárnak, prémium háttérképnek és más látszólag legitim programoknak álcázták. A fenyegető alkalmazások neve: kom.impresszionizmus. pros.app, com.beauty.camera.plus.fotószerkesztő, com.beauty.slimming.pro, com.picture.picture frame, com. microchip.vodeoeditor, com.gif.camera.editor, com.apps.camera.photos, com.toolbox.photoeditor, com.hd.h4ks.wallpaper, com.draw.graffiti és com.urox.opixe.nightcamreapro.
Bár ezeket az alkalmazásokat eltávolították a piacról, lehetséges, hogy a támadók más alkalmazásokat is létrehozhatnak, így a telepítések száma meghaladja a jelenleg ismerteket.
A Fleckpe rosszindulatú program illetéktelenül előfizet drága szolgáltatásokra
Amikor a felhasználó telepít egy Fleckpe alkalmazást, az alkalmazás hozzáférést kér az értesítési tartalomhoz. Ez a hozzáférés szükséges az előfizetés megerősítő kódjainak rögzítéséhez számos prémium szolgáltatásnál. Az alkalmazás elindítása után dekódol egy rejtett hasznos adatot, amely rossz kódot tartalmaz. A végrehajtást követően megpróbál kapcsolatba lépni a fenyegetettség szereplőjének Command-and-Control (C2) szerverével, hogy alapvető információkat küldjön a fertőzött eszközről. A továbbított adatok magukban foglalják a mobil országkódot (MCC) és a mobilhálózati kódot (MNC).
Válaszul a C2 szerver egy webhelycímet biztosít, amelyet a trójai egy láthatatlan webböngésző ablakban nyit meg. A kártevő az áldozat tudta vagy beleegyezése nélkül előfizet egy prémium szolgáltatásra. Ha megerősítő kódra van szükség, a Fleckpe lekéri azt az eszköz értesítései közül, és elküldi a rejtett képernyőn az előfizetési folyamat befejezéséhez.
Aljas céljaik ellenére a Fleckpe alkalmazások továbbra is biztosítják a hirdetett funkcionalitást az áldozat számára. Ez segít elrejteni valódi szándékaikat, és csökkenti a gyanú ébredésének valószínűségét.
A kiberbűnözők továbbra is frissítik a Fleckpe Android-malware-t
A Fleckpe Mobile malware legújabb verziói néhány változáson mentek keresztül. A fejlesztők a jogosulatlan előfizetéseket végrehajtó kód jelentős részét a natív könyvtárba helyezték át a rakományból. A hasznos teher most az értesítések lehallgatására és a weboldalak megjelenítésére összpontosít.
Sőt, a hasznos teher legfrissebb verziója tartalmaz egy rejtett réteget is. A kutatók úgy vélik, hogy ezek a módosítások azért történtek, hogy Fleckpe elemzését nehezebbé tegyék, és növeljék a kitérő képességét.
Bár nem tekinthető olyan veszélyesnek, mint a kémprogramok vagy az adatlopó rosszindulatú programok, az előfizetéses trójaiak mégis jelentős károkat okozhatnak. Jogosulatlan terhelésekhez vezethetnek, érzékeny információkat gyűjthetnek a felhasználóról, és belépési pontként szolgálhatnak erősebb rakományok telepítéséhez.
