Fleckpe mobil skadelig programvare
En ny Android-abonnementsbasert skadelig programvare, kalt Fleckpe, har blitt oppdaget på Google Play, den offisielle Android-appbutikken. Skadevaren er kamuflert som flere legitime applikasjoner og har så langt klart å samle over 600 000 nedlastinger. Fleckpe er en av mange Android-malwaretrusler som uredelig abonnerer brukere på premium-tjenester og genererer uautoriserte belastninger. Trusselaktører bak slik skadevare tjener penger ved å motta en del av de månedlige eller engangsavgiftene som genereres gjennom premiumtjenestene.
Dersom trusselaktørene selv driver tjenestene, vil de sannsynligvis beholde hele inntekten. Fleckpes oppdagelse er det siste eksemplet på nettkriminelle som utnytter tilliten og populariteten til anerkjente applikasjonsbutikker for å distribuere truende programvare.
Innholdsfortegnelse
Fleckpe sprer seg gjennom trojaniserte applikasjoner på Google Play Store
Selv om Fleckpe-trojaneren har vært aktiv i over et år, ble den først nylig avdekket og dokumentert. Flertallet av Fleckpes ofre er bosatt i Thailand, Malaysia, Indonesia, Singapore og Polen, med et mindre antall infeksjoner funnet over hele verden.
Så langt har 11 forskjellige applikasjoner med Fleckpe-skadevare blitt oppdaget og fjernet fra Google Play-butikken. Disse applikasjonene ble forkledd som bilderedigerere, fotobiblioteker, premium bakgrunnsbilder og andre tilsynelatende legitime programmer. Navnene på de truende applikasjonene er kom.impresjonisme. pros.app, com.beauty.camera.plus.photo editor, com.beauty.slimming.pro, com.picture.picture frame, com. microchip.vodeoeditor, com.gif.camera.editor, com.apps.camera.photos, com.toolbox.photoeditor, com.hd.h4ks.wallpaper, com.draw.graffiti og com.urox.opixe.nightcamreapro.
Selv om alle disse applikasjonene er fjernet fra markedet, er det mulig at angriperne kan lage andre applikasjoner, så antallet installasjoner kan være høyere enn det som er kjent for øyeblikket.
Fleckpe Malware lager uautoriserte abonnementer på dyre tjenester
Når en bruker installerer en Fleckpe-app, ber applikasjonen om tilgang til varslingsinnhold. Denne tilgangen er nødvendig for å fange opp abonnementsbekreftelseskoder på mange premiumtjenester. Når applikasjonen er startet, dekoder den en skjult nyttelast som inneholder dårlig kode. Etter å ha blitt henrettet, prøver den å kontakte trusselaktørens Command-and-Control-server (C2) for å sende grunnleggende informasjon om den infiserte enheten. De overførte dataene inkluderer Mobile Country Code (MCC) og Mobile Network Code (MNC).
Som svar gir C2-serveren en nettstedsadresse som trojaneren åpner i et usynlig nettleservindu. Skadevaren abonnerer offeret på en førsteklasses tjeneste uten deres viten eller samtykke. Hvis det kreves en bekreftelseskode, henter Fleckpe den fra enhetens varslinger og sender den på den skjulte skjermen for å fullføre abonnementsprosessen.
Til tross for deres uhyggelige formål, tilbyr Fleckpe-applikasjonene fortsatt den annonserte funksjonaliteten til offeret. Dette bidrar til å skjule deres sanne intensjoner og reduserer sannsynligheten for å vekke mistanke.
Nettkriminelle fortsetter å oppdatere Fleckpe Android-malware
De siste versjonene av Fleckpe Mobile malware har gjennomgått noen endringer. Utviklerne har flyttet en betydelig del av koden som utfører de uautoriserte abonnementene fra nyttelasten til det opprinnelige biblioteket. Nyttelasten fokuserer nå på å avskjære varsler og vise nettsider.
Dessuten inkluderer den nyeste versjonen av nyttelasten et lag med tilsløring. Forskere mener at disse modifikasjonene ble gjort for å gjøre Fleckpe vanskeligere å analysere og øke unnvikelsen.
Selv om det kanskje ikke anses å være like farlig som spionprogrammer eller skadelig programvare som stjeler data, kan abonnementstrojanere fortsatt forårsake betydelig skade. De kan resultere i uautoriserte belastninger, samle inn sensitiv informasjon om brukeren og fungere som inngangspunkter for utplassering av kraftigere nyttelast.
