Мобильные вредоносные программы Fleckpe
В Google Play, официальном магазине приложений для Android, было обнаружено новое вредоносное ПО для Android по подписке под названием Fleckpe. Вредоносная программа маскируется под несколько законных приложений, и на данный момент удалось собрать более 600 000 загрузок. Fleckpe — одна из многих вредоносных программ для Android, которые мошенническим образом подписывают пользователей на платные услуги и генерируют несанкционированные платежи. Злоумышленники, стоящие за такими вредоносными программами, зарабатывают деньги, получая часть ежемесячной или единовременной абонентской платы, сгенерированной с помощью платных услуг.
Если субъекты угрозы сами управляют услугами, они, скорее всего, оставят себе весь доход. Открытие Флекпе — последний пример того, как киберпреступники используют доверие и популярность авторитетных магазинов приложений для распространения опасного программного обеспечения.
Оглавление
Fleckpe распространяется через троянские приложения в магазине Google Play
Хотя троянец Fleckpe активен уже более года, он был обнаружен и задокументирован лишь недавно. Большинство жертв Флекпе проживает в Таиланде, Малайзии, Индонезии, Сингапуре и Польше, при этом меньшее количество инфекций обнаружено во всем мире.
На данный момент было обнаружено и удалено из магазина Google Play 11 различных приложений, содержащих вредоносное ПО Fleckpe. Эти приложения были замаскированы под редакторы изображений, фотобиблиотеки, премиум-обои и другие, казалось бы, законные программы. Названия угрожающих приложений — ком.импрессионизм. pros.app, com.beauty.camera.plus.фоторедактор, com.beauty.slimming.pro, com.picture.фоторамка, com. microchip.vodeoeditor, com.gif.camera.editor, com.apps.camera.photos, com.toolbox.photoeditor, com.hd.h4ks.wallpaper, com.draw.graffiti и com.urox.opixe.nightcamreapro.
Хотя все эти приложения были удалены из магазина, возможно, что злоумышленники могут создать другие приложения, поэтому количество установок может быть больше, чем известно в настоящее время.
Вредоносная программа Fleckpe делает несанкционированные подписки на дорогие услуги
Когда пользователь устанавливает приложение Fleckpe, приложение запрашивает доступ к содержимому уведомлений. Этот доступ необходим для захвата кодов подтверждения подписки на многие услуги премиум-класса. После запуска приложение декодирует скрытую полезную нагрузку, содержащую плохой код. После выполнения он пытается связаться с сервером Command-and-Control (C2) злоумышленника, чтобы отправить основную информацию о зараженном устройстве. Передаваемые данные включают в себя код страны мобильной связи (MCC) и код сети мобильной связи (MNC).
В ответ сервер C2 предоставляет адрес веб-сайта, который троянец открывает в невидимом окне веб-браузера. Вредоносная программа подписывает жертву на платный сервис без ее ведома и согласия. Если требуется код подтверждения, Fleckpe извлекает его из уведомлений устройства и отправляет на скрытый экран для завершения процесса подписки.
Несмотря на свою гнусную цель, приложения Fleckpe по-прежнему предоставляют жертве свои рекламируемые функции. Это помогает скрыть их истинные намерения и снижает вероятность возникновения подозрений.
Киберпреступники продолжают обновлять вредоносное ПО Fleckpe для Android
Последние версии вредоносного ПО Fleckpe Mobile претерпели некоторые изменения. Разработчики перенесли значительную часть кода, выполняющего несанкционированные подписки, из полезной нагрузки в нативную библиотеку. Полезная нагрузка теперь сосредоточена на перехвате уведомлений и отображении веб-страниц.
Более того, последняя версия полезной нагрузки включает в себя слой обфускации. Исследователи полагают, что эти модификации были сделаны, чтобы затруднить анализ Флекпе и повысить его уклончивость.
Хотя подписные трояны могут считаться не такими опасными, как шпионское ПО или вредоносное ПО для кражи данных, они все же могут причинить значительный вред. Они могут привести к несанкционированным платежам, сбору конфиденциальной информации о пользователе и действовать как точки входа для развертывания более мощных полезных нагрузок.
