Zlonamerna programska oprema za mobilne naprave Fleckpe
V Google Play, uradni trgovini z aplikacijami za Android, so odkrili novo zlonamerno programsko opremo za Android, imenovano Fleckpe. Zlonamerna programska oprema je zakamuflirana kot več zakonitih aplikacij in je doslej uspela zbrati več kot 600 000 prenosov. Fleckpe je ena od številnih groženj zlonamerne programske opreme za Android, ki goljufivo naroča uporabnike na vrhunske storitve in ustvarja nepooblaščene stroške. Akterji groženj, ki stojijo za takšno zlonamerno programsko opremo, služijo denar tako, da prejmejo del mesečnih ali enkratnih naročnin, ustvarjenih prek premium storitev.
Če akterji groženj sami upravljajo storitve, bodo verjetno obdržali celoten prihodek. Fleckpejevo odkritje je najnovejši primer kibernetskih kriminalcev, ki izkoriščajo zaupanje in priljubljenost uglednih trgovin z aplikacijami za distribucijo nevarne programske opreme.
Kazalo
Fleckpe se širi prek trojaniziranih aplikacij v trgovini Google Play
Čeprav je trojanec Fleckpe aktiven že več kot eno leto, so ga odkrili in dokumentirali šele pred kratkim. Večina žrtev Fleckpejeve bolezni prebiva na Tajskem, v Maleziji, Indoneziji, Singapurju in na Poljskem, z manjšim številom okužb po vsem svetu.
Doslej je bilo odkritih in odstranjenih iz trgovine Google Play 11 različnih aplikacij, ki prenašajo zlonamerno programsko opremo Fleckpe. Te aplikacije so bile prikrite kot urejevalniki slik, knjižnice fotografij, vrhunska ozadja in drugi na videz zakoniti programi. Imena grozečih aplikacij so kom.impresionizem. pros.app, com.beauty.camera.plus.urejevalnik fotografij, com.beauty.slimming.pro, com.picture.okvir za slike, com. microchip.vodeoeditor, com.gif.camera.editor, com.apps.camera.photos, com.toolbox.photoeditor, com.hd.h4ks.wallpaper, com.draw.graffiti in com.urox.opixe.nightcamreapro.
Čeprav so bile vse te aplikacije odstranjene s trga, je možno, da napadalci ustvarijo druge aplikacije, zato je lahko število namestitev večje od trenutno znanega.
Zlonamerna programska oprema Fleckpe se nepooblaščeno naroča na drage storitve
Ko uporabnik namesti aplikacijo Fleckpe, aplikacija zahteva dostop do vsebine obvestil. Ta dostop je potreben za zajemanje kod za potrditev naročnine na številnih premium storitvah. Ko se aplikacija zažene, dekodira skrito koristno vsebino, ki vsebuje slabo kodo. Po izvedbi poskuša vzpostaviti stik s strežnikom Command-and-Control (C2) akterja grožnje, da pošlje osnovne informacije o okuženi napravi. Preneseni podatki vključujejo mobilno kodo države (MCC) in kodo mobilnega omrežja (MNC).
V odgovor strežnik C2 posreduje naslov spletnega mesta, ki ga trojanec odpre v nevidnem oknu spletnega brskalnika. Zlonamerna programska oprema žrtev naroči na prvovrstno storitev brez njene vednosti ali soglasja. Če je potrebna potrditvena koda, jo Fleckpe pridobi iz obvestil naprave in pošlje na skritem zaslonu, da dokonča postopek naročnine.
Kljub svojemu nečednemu namenu aplikacije Fleckpe še vedno nudijo svojo oglaševano funkcionalnost žrtvi. To pomaga prikriti njihove prave namene in zmanjša verjetnost suma.
Kibernetski kriminalci še naprej posodabljajo zlonamerno programsko opremo Fleckpe za Android
Najnovejše različice zlonamerne programske opreme Fleckpe Mobile so doživele nekaj sprememb. Razvijalci so premaknili pomemben del kode, ki izvaja nepooblaščene naročnine, iz nosilca v izvorno knjižnico. Tovor se zdaj osredotoča na prestrezanje obvestil in prikazovanje spletnih strani.
Poleg tega najnovejša različica tovora vključuje plast zakrivanja. Raziskovalci verjamejo, da so bile te spremembe narejene, da bi Fleckpe težje analizirali in povečali njegovo izogibanje.
Čeprav morda ne veljajo za tako nevarne kot vohunska programska oprema ali zlonamerna programska oprema za krajo podatkov, lahko naročniški trojanci vseeno povzročijo znatno škodo. Lahko povzročijo nepooblaščene bremenitve, zbirajo občutljive podatke o uporabniku in delujejo kot vstopne točke za uvajanje močnejših koristnih obremenitev.
