„Fleckpe Mobile“ kenkėjiška programa
Oficialioje „Android“ programų parduotuvėje „Google Play“ buvo aptikta nauja „Android“ prenumerata pagrįsta kenkėjiška programa, pavadinta „Fleckpe“. Kenkėjiška programa yra užmaskuota kaip kelios teisėtos programos ir iki šiol sugebėjo sukaupti daugiau nei 600 000 atsisiuntimų. „Fleckpe“ yra viena iš daugelio „Android“ kenkėjiškų programų grėsmių, kurios apgaulingai prenumeruoja vartotojus aukščiausios kokybės paslaugas ir generuoja neteisėtus mokesčius. Tokių kenkėjiškų programų grėsmės veikėjai uždirba pinigų gaudami dalį mėnesinių arba vienkartinių abonentinių mokesčių, sugeneruotų naudojant aukščiausios kokybės paslaugas.
Jei grėsmės subjektai patys teikia paslaugas, tikėtina, kad jie pasiliks visas pajamas. Fleckpe atradimas yra naujausias pavyzdys, kai kibernetiniai nusikaltėliai naudojasi patikimų programų parduotuvių pasitikėjimu ir populiarumu platindami grėsmingą programinę įrangą.
Turinys
„Fleckpe“ plinta per „Google Play“ parduotuvės Trojanizuotas programas
Nors Fleckpe Trojos arklys buvo aktyvus daugiau nei metus, jis buvo atrastas ir dokumentuotas tik neseniai. Dauguma Fleckpe aukų gyvena Tailande, Malaizijoje, Indonezijoje, Singapūre ir Lenkijoje, o visame pasaulyje nustatytas mažesnis infekcijų skaičius.
Iki šiol buvo aptikta ir pašalinta iš „Google Play“ parduotuvės 11 skirtingų programų, kuriose yra „Fleckpe“ kenkėjiška programa. Šios programos buvo užmaskuotos kaip vaizdų rengyklės, nuotraukų bibliotekos, aukščiausios kokybės tapetai ir kitos iš pažiūros teisėtos programos. Grėsmingų programų pavadinimai yra kom.impresionizmas. pros.app, com.beauty.camera.plus.nuotraukų rengyklė, com.beauty.slimming.pro, com.picture.picture frame, com. microchip.vodeoeditor, com.gif.camera.editor, com.apps.camera.photos, com.toolbox.photoeditor, com.hd.h4ks.wallpaper, com.draw.graffiti ir com.urox.opixe.nightcamreapro.
Nors visos šios programos buvo pašalintos iš rinkos, gali būti, kad užpuolikai gali sukurti kitas programas, todėl įdiegimų skaičius gali būti didesnis nei šiuo metu žinoma.
„Fleckpe“ kenkėjiška programa neteisėtai prenumeruoja brangias paslaugas
Kai vartotojas įdiegia „Fleckpe“ programą, programa prašo prieigos prie pranešimų turinio. Ši prieiga reikalinga norint užfiksuoti daugelio aukščiausios kokybės paslaugų prenumeratos patvirtinimo kodus. Kai programa paleidžiama, ji iššifruoja paslėptą naudingą apkrovą, kurioje yra blogas kodas. Vykdoma, ji bando susisiekti su grėsmės veikėjo komandų ir valdymo (C2) serveriu, kad išsiųstų pagrindinę informaciją apie užkrėstą įrenginį. Perduodami duomenys apima mobiliojo ryšio šalies kodą (MCC) ir mobiliojo tinklo kodą (MNC).
Atsakydamas į tai, C2 serveris pateikia svetainės adresą, kurį Trojos arklys atidaro nematomame žiniatinklio naršyklės lange. Kenkėjiška programa aukai užsiprenumeruoja aukščiausios kokybės paslaugą be jų žinios ar sutikimo. Jei reikia patvirtinimo kodo, „Fleckpe“ nuskaito jį iš įrenginio pranešimų ir pateikia paslėptame ekrane, kad užbaigtų prenumeratos procesą.
Nepaisant niekšiško tikslo, „Fleckpe“ programos vis tiek teikia savo reklamuojamas funkcijas aukai. Tai padeda nuslėpti tikruosius jų ketinimus ir sumažina įtarimų tikimybę.
Kibernetiniai nusikaltėliai ir toliau atnaujina „Fleckpe Android“ kenkėjišką programą
Naujausios „Fleckpe Mobile“ kenkėjiškos programos versijos buvo šiek tiek pakeistos. Kūrėjai perkėlė didelę dalį kodo, vykdančio neteisėtą prenumeratą, iš naudingosios apkrovos į savąją biblioteką. Dabar naudingoji apkrova sutelkta į pranešimų perėmimą ir tinklalapių rodymą.
Be to, naujausioje naudingojo krovinio versijoje yra užmaskavimo sluoksnis. Tyrėjai mano, kad šios modifikacijos buvo padarytos tam, kad Fleckpe būtų sunkiau analizuoti ir padidėtų jo vengimas.
Nors tai gali būti nelaikoma tokia pavojinga kaip šnipinėjimo ar duomenis vagiančios kenkėjiškos programos, prenumeruojami Trojos arkliai vis tiek gali padaryti didelės žalos. Jie gali sukelti neteisėtus mokesčius, rinkti neskelbtiną informaciją apie vartotoją ir veikti kaip įėjimo taškai diegiant galingesnius naudingus krovinius.
