Fleckpe Mobile Malware
Um novo malware baseado na assinatura do Android, chamado Fleckpe, foi descoberto no Google Play, a loja de aplicativos oficial do Android. O malware é camuflado como vários aplicativos legítimos e, até agora, conseguiu acumular mais de 600.000 downloads. O Fleckpe é uma das muitas ameaças de malware para Android que inscrevem usuários de forma fraudulenta em serviços premium e geram cobranças não autorizadas. Os agentes de ameaças por trás desse malware ganham dinheiro recebendo uma parte das taxas de assinatura mensais ou únicas geradas por meio dos serviços premium.
Se os próprios agentes da ameaça operarem os serviços, é provável que fiquem com toda a receita. A descoberta de Fleckpe é o exemplo mais recente de cibercriminosos que exploram a confiança e a popularidade de lojas de aplicativos respeitáveis para distribuir software ameaçador.
Índice
O Fleckpe se Espalha por Meio de Aplicativos Trojanizados na Loja do Google Play
Embora o Trojan Fleckpe esteja ativo há mais de um ano, só recentemente foi descoberto e documentado. A maioria das vítimas de Fleckpe reside na Tailândia, Malásia, Indonésia, Cingapura e Polônia, com um número menor de infecções encontradas em todo o mundo.
Até agora, 11 aplicativos diferentes que carregam o malware Fleckpe foram descobertos e removidos da Google Play Store. Esses aplicativos foram disfarçados como editores de imagens, bibliotecas de fotos, papéis de parede premium e outros programas aparentemente legítimos. Os nomes dos aplicativos ameaçadores são com.impressionism. pros.app, com.beauty.camera.plus.photo editor, com.beauty.slimming.pro, com.picture.picture frame, com. microchip.vodeoeditor, com.gif.camera.editor, com.apps.camera.photos, com.toolbox.photoeditor, com.hd.h4ks.wallpaper, com.draw.graffiti e com.urox.opixe.nightcamreapro.
Embora todos esses aplicativos tenham sido removidos do mercado, é possível que os invasores criem outros aplicativos, portanto, o número de instalações pode ser maior do que o conhecido atualmente.
O Malware Fleckpe faz Assinaturas não Autorizadas de Serviços Caros
Quando um usuário instala um aplicativo Fleckpe, o aplicativo solicita acesso ao conteúdo da notificação. Esse acesso é necessário para capturar códigos de confirmação de assinatura em muitos serviços premium. Depois que o aplicativo é iniciado, ele decodifica uma carga oculta que contém um código inválido. Ao ser executado, ele tenta entrar em contato com o servidor de Comando e Controle (C2) do agente da ameaça para enviar informações básicas sobre o dispositivo infectado. Os dados transmitidos incluem o Mobile Country Code (MCC) e o Mobile Network Code (MNC).
Em resposta, o servidor C2 fornece um endereço de site que o Trojan abre em uma janela invisível do navegador. O malware inscreve a vítima em um serviço premium sem seu conhecimento ou consentimento. Se for necessário um código de confirmação, o Fleckpe o recupera das notificações do dispositivo e o envia na tela oculta para concluir o processo de assinatura.
Apesar de seu propósito nefasto, os aplicativos Fleckpe ainda fornecem sua funcionalidade anunciada à vítima. Isso ajuda a esconder suas verdadeiras intenções e reduz a probabilidade de levantar suspeitas.
Os Cibercriminosos ContinuamAtualizando o Malware Fleckpe para o Android
As versões mais recentes do malware Fleckpe Mobile sofreram algumas alterações. Os desenvolvedores moveram uma parte significativa do código que realiza as assinaturas não autorizadas da carga útil para a biblioteca nativa. A carga útil agora se concentra em interceptar notificações e exibir páginas da web.
Além disso, a versão mais recente do payload inclui uma camada de ofuscação. Os pesquisadores acreditam que essas modificações foram feitas para tornar o Fleckpe mais difícil de analisar e aumentar sua evasão.
Embora possa não ser considerado tão perigoso quanto o spyware ou malware para roubo de dados, os Trojans de assinatura ainda podem causar danos significativos. Eles podem resultar em cobranças não autorizadas, coletar informações confidenciais sobre o usuário e atuar como pontos de entrada para a implantação de cargas úteis mais potentes.
