Fleckpe Mobile Malware
Un nou malware bazat pe abonament Android, numit Fleckpe, a fost descoperit pe Google Play, magazinul oficial de aplicații pentru Android. Malware-ul este camuflat ca mai multe aplicații legitime și a reușit până acum să acumuleze peste 600 000 de descărcări. Fleckpe este una dintre multele amenințări malware Android care abonează în mod fraudulos utilizatorii la servicii premium și generează taxe neautorizate. Actorii de amenințări din spatele unui astfel de malware câștigă bani primind o parte din taxele lunare sau unice de abonament generate prin serviciile premium.
Dacă actorii amenințărilor înșiși operează serviciile, este probabil ca aceștia să păstreze întregul venit. Descoperirea lui Fleckpe este cel mai recent exemplu de infractori cibernetici care exploatează încrederea și popularitatea magazinelor de aplicații de renume pentru a distribui software amenințător.
Cuprins
Fleckpe se răspândește prin aplicații troiene din Magazinul Google Play
Deși troianul Fleckpe este activ de peste un an, a fost descoperit și documentat doar recent. Majoritatea victimelor lui Fleckpe locuiesc în Thailanda, Malaezia, Indonezia, Singapore și Polonia, cu un număr mai mic de infecții găsite în întreaga lume.
Până acum, 11 aplicații diferite care transportă malware-ul Fleckpe au fost descoperite și eliminate din magazinul Google Play. Aceste aplicații au fost deghizate în editori de imagini, biblioteci foto, imagini de fundal premium și alte programe aparent legitime. Numele aplicațiilor amenințătoare sunt com.impresionism. pros.app, com.beauty.camera.plus.editor foto, com.beauty.slimming.pro, com.picture.picture frame, com. microchip.vodeoeditor, com.gif.camera.editor, com.apps.camera.photos, com.toolbox.photoeditor, com.hd.h4ks.wallpaper, com.draw.graffiti și com.urox.opixe.nightcamreapro.
Deși toate aceste aplicații au fost eliminate de pe piață, este posibil ca atacatorii să creeze alte aplicații, astfel încât numărul de instalări ar putea fi mai mare decât cel cunoscut în prezent.
Programul malware Fleckpe face abonamente neautorizate la servicii scumpe
Când un utilizator instalează o aplicație Fleckpe, aplicația solicită acces la conținutul notificărilor. Acest acces este necesar pentru a captura coduri de confirmare a abonamentului pentru multe servicii premium. Odată ce aplicația este lansată, decodifică o sarcină utilă ascunsă care conține cod prost. După ce este executat, încearcă să contacteze serverul Command-and-Control (C2) al actorului amenințării pentru a trimite informații de bază despre dispozitivul infectat. Datele transmise includ codul de țară mobil (MCC) și codul de rețea mobilă (MNC).
Ca răspuns, serverul C2 oferă o adresă de site web pe care troianul o deschide într-o fereastră invizibilă a browserului web. Malware-ul abonează victima la un serviciu premium fără știrea sau consimțământul acesteia. Dacă este necesar un cod de confirmare, Fleckpe îl preia din notificările dispozitivului și îl trimite pe ecranul ascuns pentru a finaliza procesul de abonare.
În ciuda scopului lor nefast, aplicațiile Fleckpe încă oferă victimei funcționalitatea lor promovată. Acest lucru ajută la ascunderea adevăratelor lor intenții și reduce probabilitatea de a ridica suspiciuni.
Infractorii cibernetici continuă să actualizeze programul malware Fleckpe Android
Cele mai recente versiuni ale programului malware Fleckpe Mobile au suferit câteva modificări. Dezvoltatorii au mutat o parte semnificativă a codului care efectuează abonamentele neautorizate din încărcarea utilă în biblioteca nativă. Sarcina utilă se concentrează acum pe interceptarea notificărilor și afișarea paginilor web.
Mai mult, cea mai recentă versiune a încărcăturii utile include un strat de ofuscare. Cercetătorii cred că aceste modificări au fost făcute pentru a face Fleckpe mai dificil de analizat și pentru a crește gradul de evaziune.
Deși nu poate fi considerat a fi la fel de periculos ca programele spion sau malware care fură date, troienii cu abonament pot provoca totuși daune semnificative. Acestea pot duce la taxe neautorizate, pot colecta informații sensibile despre utilizator și pot acționa ca puncte de intrare pentru implementarea sarcinilor utile mai puternice.
