Fleckpe Mobile Malware
V Google Play, oficiálnom obchode s aplikáciami pre Android, bol objavený nový malvér založený na predplatnom pre Android s názvom Fleckpe. Malvér je maskovaný ako niekoľko legitímnych aplikácií a doteraz sa mu podarilo nazhromaždiť viac ako 600 000 stiahnutí. Fleckpe je jednou z mnohých hrozieb škodlivého softvéru pre Android, ktoré podvodne predplatia používateľom prémiové služby a generujú neoprávnené poplatky. Aktéri hrozieb stojaci za takýmto malvérom zarábajú peniaze prijímaním časti mesačných alebo jednorazových poplatkov za predplatné generované prostredníctvom prémiových služieb.
Ak samotní aktéri hrozieb prevádzkujú služby, pravdepodobne si ponechajú celý príjem. Fleckpeov objav je najnovším príkladom kyberzločincov, ktorí využívajú dôveru a popularitu renomovaných obchodov s aplikáciami na distribúciu hrozivého softvéru.
Obsah
Fleckpe sa šíri prostredníctvom trojanizovaných aplikácií v obchode Google Play
Hoci je trójsky kôň Fleckpe aktívny už viac ako rok, bol odhalený a zdokumentovaný len nedávno. Väčšina obetí Fleckpe žije v Thajsku, Malajzii, Indonézii, Singapure a Poľsku, pričom celosvetovo je zistený menší počet infekcií.
Doteraz bolo objavených a odstránených z obchodu Google Play 11 rôznych aplikácií nesúcich malvér Fleckpe. Tieto aplikácie boli maskované ako editory obrázkov, knižnice fotografií, prémiové tapety a iné zdanlivo legitímne programy. Názvy hrozivých aplikácií sú kom.impresionizmus. pros.app, com.beauty.camera.plus.photo editor, com.beauty.slimming.pro, com.picture.picture frame, com. microchip.vodeoeditor, com.gif.camera.editor, com.apps.camera.photos, com.toolbox.photoeditor, com.hd.h4ks.wallpaper, com.draw.graffiti a com.urox.opixe.nightcamreapro.
Hoci všetky tieto aplikácie boli odstránené z trhu, je možné, že útočníci môžu vytvoriť iné aplikácie, takže počet inštalácií môže byť vyšší, ako je v súčasnosti známe.
Fleckpe Malware robí neoprávnené predplatné drahých služieb
Keď si používateľ nainštaluje aplikáciu Fleckpe, aplikácia si vyžiada prístup k obsahu upozornení. Tento prístup je potrebný na zachytenie potvrdzovacích kódov predplatného v mnohých prémiových službách. Po spustení aplikácia dekóduje skryté užitočné zaťaženie, ktoré obsahuje zlý kód. Po spustení sa pokúsi kontaktovať server Command-and-Control (C2) aktéra hrozby, aby poslal základné informácie o infikovanom zariadení. Prenášané dáta zahŕňajú Mobile Country Code (MCC) a Mobile Network Code (MNC).
Ako odpoveď server C2 poskytne webovú adresu, ktorú trójsky kôň otvorí v neviditeľnom okne webového prehliadača. Malvér predplatí obeti prémiovú službu bez jej vedomia alebo súhlasu. Ak sa vyžaduje potvrdzovací kód, Fleckpe ho získa z upozornení zariadenia a odošle ho na skrytej obrazovke, aby dokončil proces predplatného.
Napriek ich hanebnému účelu aplikácie Fleckpe stále poskytujú obeti svoje inzerované funkcie. Pomáha to utajiť ich skutočné úmysly a znižuje pravdepodobnosť vzbudenia podozrenia.
Kyberzločinci pokračujú v aktualizácii škodlivého softvéru Fleckpe Android
Najnovšie verzie škodlivého softvéru Fleckpe Mobile prešli niekoľkými zmenami. Vývojári presunuli značnú časť kódu vykonávajúceho neoprávnené odbery z užitočného zaťaženia do natívnej knižnice. Užitočné zaťaženie sa teraz zameriava na zachytávanie upozornení a zobrazovanie webových stránok.
Najnovšia verzia užitočného zaťaženia navyše obsahuje vrstvu zahmlievania. Výskumníci sa domnievajú, že tieto úpravy boli vykonané s cieľom sťažiť analýzu Fleckpe a zvýšiť jeho vyhýbavosť.
Hoci to nemusí byť považované za také nebezpečné ako spyware alebo malvér na krádež údajov, predplatné trójske kone môžu stále spôsobiť značné škody. Môžu viesť k neoprávneným poplatkom, zhromažďovať citlivé informácie o používateľovi a pôsobiť ako vstupné body pre nasadenie výkonnejších dát.
