Malware mobile Fleckpe
Un nuovo malware basato su abbonamento Android, chiamato Fleckpe, è stato scoperto su Google Play, l'app store ufficiale di Android. Il malware è camuffato sotto diverse applicazioni legittime e finora è riuscito ad accumulare oltre 600.000 download. Fleckpe è una delle tante minacce malware per Android che iscrivono fraudolentemente gli utenti a servizi premium e generano addebiti non autorizzati. Gli attori delle minacce dietro tali malware guadagnano ricevendo una parte delle quote di abbonamento mensili o una tantum generate tramite i servizi premium.
Se gli stessi attori delle minacce gestiscono i servizi, è probabile che mantengano l'intero reddito. La scoperta di Fleckpe è l'ultimo esempio di criminali informatici che sfruttano la fiducia e la popolarità di negozi di applicazioni affidabili per distribuire software minaccioso.
Sommario
Fleckpe si diffonde attraverso applicazioni trojanizzate su Google Play Store
Sebbene il trojan Fleckpe sia attivo da oltre un anno, è stato scoperto e documentato solo di recente. La maggior parte delle vittime di Fleckpe risiede in Thailandia, Malesia, Indonesia, Singapore e Polonia, con un numero minore di infezioni riscontrate in tutto il mondo.
Finora, 11 diverse applicazioni contenenti il malware Fleckpe sono state scoperte e rimosse dal Google Play Store. Queste applicazioni erano camuffate da editor di immagini, librerie di foto, sfondi premium e altri programmi apparentemente legittimi. I nomi delle applicazioni minacciose sono impressionismo compressivo. pros.app, com.beauty.camera.plus.photo editor, com.beauty.slimming.pro, com.picture.picture frame, com. microchip.vodeoeditor, com.gif.camera.editor, com.apps.camera.photos, com.toolbox.photoeditor, com.hd.h4ks.wallpaper, com.draw.graffiti e com.urox.opixe.nightcamreapro.
Sebbene tutte queste applicazioni siano state rimosse dal mercato, è possibile che gli aggressori creino altre applicazioni, quindi il numero di installazioni potrebbe essere superiore a quello attualmente noto.
Il malware Fleckpe effettua abbonamenti non autorizzati a servizi costosi
Quando un utente installa un'app Fleckpe, l'applicazione richiede l'accesso al contenuto della notifica. Questo accesso è necessario per acquisire i codici di conferma dell'abbonamento su molti servizi premium. Una volta avviata, l'applicazione decodifica un payload nascosto che contiene codice errato. Dopo essere stato eseguito, tenta di contattare il server Command-and-Control (C2) dell'autore della minaccia per inviare informazioni di base sul dispositivo infetto. I dati trasmessi includono il Mobile Country Code (MCC) e il Mobile Network Code (MNC).
In risposta, il server C2 fornisce un indirizzo web che il trojan apre in una finestra invisibile del browser web. Il malware sottoscrive la vittima a un servizio premium a sua insaputa o senza il suo consenso. Se è richiesto un codice di conferma, Fleckpe lo recupera dalle notifiche del dispositivo e lo invia sullo schermo nascosto per completare il processo di abbonamento.
Nonostante il loro scopo nefasto, le applicazioni Fleckpe forniscono ancora alla vittima le loro funzionalità pubblicizzate. Questo aiuta a nascondere le loro vere intenzioni e riduce la probabilità di destare sospetti.
I criminali informatici continuano ad aggiornare il malware Android Fleckpe
Le versioni più recenti del malware Fleckpe Mobile hanno subito alcune modifiche. Gli sviluppatori hanno spostato una parte significativa del codice che effettua le sottoscrizioni non autorizzate dal payload alla libreria nativa. Il payload ora si concentra sull'intercettazione delle notifiche e sulla visualizzazione delle pagine web.
Inoltre, l'ultima versione del payload include uno strato di offuscamento. I ricercatori ritengono che queste modifiche siano state apportate per rendere Fleckpe più difficile da analizzare e aumentare la sua evasività.
Anche se potrebbe non essere considerato pericoloso quanto lo spyware o il malware per il furto di dati, i trojan in abbonamento possono comunque causare danni significativi. Possono comportare addebiti non autorizzati, raccogliere informazioni riservate sull'utente e fungere da punti di ingresso per l'implementazione di payload più potenti.
