Mobilne złośliwe oprogramowanie Fleckpe
W Google Play, oficjalnym sklepie z aplikacjami na Androida, wykryto nowe złośliwe oprogramowanie oparte na subskrypcji systemu Android, o nazwie Fleckpe. Złośliwe oprogramowanie jest zakamuflowane jako kilka legalnych aplikacji i jak dotąd zgromadziło ponad 600 000 pobrań. Fleckpe to jedno z wielu zagrożeń związanych ze złośliwym oprogramowaniem dla Androida, które oszukańczo subskrybują użytkowników usług premium i generują nieautoryzowane opłaty. Zagrożenia stojące za takim złośliwym oprogramowaniem zarabiają, otrzymując część miesięcznych lub jednorazowych opłat abonamentowych generowanych za pośrednictwem usług premium.
Jeśli cyberprzestępcy sami obsługują usługi, prawdopodobnie zatrzymają cały dochód. Odkrycie Fleckpe to najnowszy przykład cyberprzestępców wykorzystujących zaufanie i popularność renomowanych sklepów z aplikacjami do dystrybucji groźnego oprogramowania.
Spis treści
Fleckpe rozprzestrzenia się za pośrednictwem trojanizowanych aplikacji w sklepie Google Play
Chociaż trojan Fleckpe jest aktywny od ponad roku, został odkryty i udokumentowany dopiero niedawno. Większość ofiar Fleckpe mieszka w Tajlandii, Malezji, Indonezji, Singapurze i Polsce, z mniejszą liczbą infekcji na całym świecie.
Do tej pory wykryto i usunięto ze sklepu Google Play 11 różnych aplikacji zawierających szkodliwe oprogramowanie Fleckpe. Aplikacje te były przebrane za edytory obrazów, biblioteki zdjęć, tapety premium i inne pozornie legalne programy. Nazwy groźnych aplikacji to kom.impresjonizm. pros.app, com.beauty.camera.plus.photo editor, com.beauty.slimming.pro, com.picture.ramka na zdjęcia, com. microchip.vodeoeditor, com.gif.camera.editor, com.apps.camera.photos, com.toolbox.photoeditor, com.hd.h4ks.wallpaper, com.draw.graffiti i com.urox.opixe.nightcamreapro.
Chociaż wszystkie te aplikacje zostały usunięte z rynku, możliwe jest, że osoby atakujące mogą tworzyć inne aplikacje, więc liczba instalacji może być wyższa niż obecnie znana.
Złośliwe oprogramowanie Fleckpe dokonuje nieautoryzowanych subskrypcji drogich usług
Gdy użytkownik instaluje aplikację Fleckpe, aplikacja żąda dostępu do treści powiadomień. Ten dostęp jest wymagany do przechwytywania kodów potwierdzających subskrypcję w wielu usługach premium. Po uruchomieniu aplikacja dekoduje ukryty ładunek zawierający zły kod. Po uruchomieniu próbuje skontaktować się z serwerem Command-and-Control (C2) ugrupowania cyberprzestępczego, aby wysłać podstawowe informacje o zainfekowanym urządzeniu. Przesyłane dane obejmują mobilny kod kraju (MCC) i kod sieci komórkowej (MNC).
W odpowiedzi serwer C2 udostępnia adres strony internetowej, którą trojan otwiera w niewidocznym oknie przeglądarki internetowej. Złośliwe oprogramowanie subskrybuje ofiarę do usługi premium bez jej wiedzy i zgody. Jeśli wymagany jest kod potwierdzający, Fleckpe pobiera go z powiadomień urządzenia i przesyła na ukrytym ekranie, aby zakończyć proces subskrypcji.
Pomimo swojego nikczemnego celu aplikacje Fleckpe nadal zapewniają ofierze reklamowaną funkcjonalność. Pomaga to ukryć ich prawdziwe intencje i zmniejsza prawdopodobieństwo wzbudzenia podejrzeń.
Cyberprzestępcy nadal aktualizują złośliwe oprogramowanie Fleckpe dla Androida
Najnowsze wersje szkodliwego oprogramowania Fleckpe Mobile przeszły pewne zmiany. Deweloperzy przenieśli znaczną część kodu realizującego nieautoryzowane subskrypcje z ładunku do biblioteki natywnej. Ładunek koncentruje się teraz na przechwytywaniu powiadomień i wyświetlaniu stron internetowych.
Co więcej, najnowsza wersja ładunku zawiera warstwę zaciemniania. Naukowcy uważają, że te modyfikacje zostały wprowadzone, aby utrudnić analizę Fleckpe i zwiększyć jego unikalność.
Chociaż trojany subskrypcyjne mogą nie być tak niebezpieczne, jak oprogramowanie szpiegujące lub złośliwe oprogramowanie kradnące dane, mogą wyrządzić znaczne szkody. Mogą powodować nieautoryzowane obciążenia, zbierać poufne informacje o użytkowniku i działać jako punkty wejścia do wdrażania potężniejszych ładunków.
