Fleckpe mobiele malware
Een nieuwe op Android-abonnement gebaseerde malware, genaamd Fleckpe, is ontdekt op Google Play, de officiële Android App Store. De malware is gecamoufleerd als verschillende legitieme applicaties en heeft tot nu toe meer dan 600.000 downloads weten te vergaren. Fleckpe is een van de vele Android-malwarebedreigingen die gebruikers op frauduleuze wijze abonneren op premiumservices en ongeoorloofde kosten in rekening brengen. Bedreigingsactoren achter dergelijke malware verdienen geld door een deel van de maandelijkse of eenmalige abonnementskosten te ontvangen die via de premiumservices worden gegenereerd.
Als de dreigingsactoren zelf de diensten exploiteren, behouden ze waarschijnlijk de volledige inkomsten. De ontdekking van Fleckpe is het nieuwste voorbeeld van cybercriminelen die misbruik maken van het vertrouwen en de populariteit van gerenommeerde applicatiewinkels om bedreigende software te verspreiden.
Inhoudsopgave
Fleckpe verspreidt zich via getrojaniseerde applicaties in de Google Play Store
Hoewel de Fleckpe Trojan al meer dan een jaar actief is, werd hij pas onlangs ontdekt en gedocumenteerd. De meerderheid van de slachtoffers van Fleckpe woont in Thailand, Maleisië, Indonesië, Singapore en Polen, met een kleiner aantal infecties wereldwijd.
Tot dusver zijn 11 verschillende applicaties met de Fleckpe-malware ontdekt en verwijderd uit de Google Play Store. Deze applicaties waren vermomd als afbeeldingseditors, fotobibliotheken, premium wallpapers en andere ogenschijnlijk legitieme programma's. De namen van de bedreigende applicaties zijn com.impressionism. pros.app, com.beauty.camera.plus.foto-editor, com.beauty.slimming.pro, com.picture.picture frame, com. microchip.vodeoeditor, com.gif.camera.editor, com.apps.camera.photos, com.toolbox.photoeditor, com.hd.h4ks.wallpaper, com.draw.graffiti en com.urox.opixe.nightcamreapro.
Hoewel al deze applicaties van de marktplaats zijn verwijderd, is het mogelijk dat de aanvallers andere applicaties maken, waardoor het aantal installaties hoger kan zijn dan momenteel bekend is.
De Fleckpe-malware maakt ongeautoriseerde abonnementen op dure services
Wanneer een gebruiker een Fleckpe-app installeert, vraagt de applicatie toegang tot meldingsinhoud. Deze toegang is vereist om abonnementsbevestigingscodes vast te leggen op veel premiumservices. Zodra de applicatie is gestart, decodeert deze een verborgen payload die slechte code bevat. Nadat het is uitgevoerd, probeert het contact op te nemen met de Command-and-Control (C2)-server van de bedreigingsactor om basisinformatie over het geïnfecteerde apparaat te verzenden. De verzonden gegevens omvatten de Mobile Country Code (MCC) en Mobile Network Code (MNC).
Als reactie geeft de C2-server een websiteadres dat de trojan opent in een onzichtbaar webbrowservenster. De malware abonneert het slachtoffer op een premium service zonder hun medeweten of toestemming. Als een bevestigingscode vereist is, haalt de Fleckpe deze op uit de meldingen van het apparaat en verzendt deze op het verborgen scherm om het abonnementsproces te voltooien.
Ondanks hun snode doel bieden de Fleckpe-applicaties nog steeds hun geadverteerde functionaliteit aan het slachtoffer. Dit helpt om hun ware bedoelingen te verbergen en vermindert de kans op argwaan.
Cybercriminelen blijven de Fleckpe Android Malware updaten
De meest recente versies van de Fleckpe Mobile-malware hebben enkele wijzigingen ondergaan. De ontwikkelaars hebben een aanzienlijk deel van de code die de ongeautoriseerde abonnementen uitvoert, verplaatst van de payload naar de native bibliotheek. De payload richt zich nu op het onderscheppen van meldingen en het weergeven van webpagina's.
Bovendien bevat de nieuwste versie van de lading een verduisteringslaag. Onderzoekers zijn van mening dat deze wijzigingen zijn aangebracht om Fleckpe moeilijker te analyseren te maken en om de ontwijkbaarheid ervan te vergroten.
Hoewel het misschien niet als zo gevaarlijk wordt beschouwd als spyware of malware die gegevens steelt, kunnen abonnementstrojans toch aanzienlijke schade aanrichten. Ze kunnen resulteren in ongeoorloofde afschrijvingen, gevoelige informatie over de gebruiker verzamelen en fungeren als toegangspunten voor de inzet van krachtigere payloads.
