Fleckpe mobil skadlig programvara
En ny Android-prenumerationsbaserad skadlig programvara, som heter Fleckpe, har upptäckts på Google Play, den officiella Android-appbutiken. Skadlig programvara är kamouflerad som flera legitima applikationer och har hittills lyckats samla över 600 000 nedladdningar. Fleckpe är ett av många Android-hot med skadlig programvara som bedrägligt prenumererar användare på premiumtjänster och genererar obehöriga avgifter. Hotaktörer bakom sådan skadlig programvara tjänar pengar genom att få en del av de månatliga eller engångsavgifterna för prenumeration som genereras genom premiumtjänsterna.
Om hotaktörerna själva driver tjänsterna kommer de sannolikt att behålla hela intäkterna. Fleckpes upptäckt är det senaste exemplet på cyberbrottslingar som utnyttjar förtroendet och populariteten hos välrenommerade applikationsbutiker för att distribuera hotfull programvara.
Innehållsförteckning
Fleckpe sprids genom trojaniserade applikationer i Google Play Butik
Även om Fleckpe-trojanen har varit aktiv i över ett år, upptäcktes och dokumenterades den först nyligen. Majoriteten av Fleckpes offer bor i Thailand, Malaysia, Indonesien, Singapore och Polen, med ett mindre antal infektioner hittade över hela världen.
Hittills har 11 olika applikationer med Fleckpe skadliga program upptäckts och tagits bort från Google Play Store. Dessa applikationer var förklädda som bildredigerare, fotobibliotek, premiumbakgrundsbilder och andra till synes legitima program. Namnen på de hotfulla applikationerna är kom.impressionism. pros.app, com.beauty.camera.plus.photo editor, com.beauty.slimming.pro, com.picture.picture frame, com. microchip.vodeoeditor, com.gif.camera.editor, com.apps.camera.photos, com.toolbox.photoeditor, com.hd.h4ks.wallpaper, com.draw.graffiti och com.urox.opixe.nightcamreapro.
Även om alla dessa applikationer har tagits bort från marknaden, är det möjligt att angriparna kan skapa andra applikationer, så antalet installationer kan vara högre än vad som är känt för närvarande.
Fleckpe Malware gör obehöriga prenumerationer på dyra tjänster
När en användare installerar en Fleckpe-app begär applikationen åtkomst till meddelandeinnehåll. Denna åtkomst krävs för att fånga prenumerationsbekräftelsekoder på många premiumtjänster. När applikationen väl har startat avkodar den en dold nyttolast som innehåller dålig kod. När den exekveras försöker den kontakta hotaktörens Command-and-Control-server (C2) för att skicka grundläggande information om den infekterade enheten. Den överförda datan inkluderar Mobile Country Code (MCC) och Mobile Network Code (MNC).
Som svar tillhandahåller C2-servern en webbadress som trojanen öppnar i ett osynligt webbläsarfönster. Skadlig programvara prenumererar offret på en premiumtjänst utan deras vetskap eller samtycke. Om en bekräftelsekod krävs hämtar Fleckpe den från enhetens aviseringar och skickar den på den dolda skärmen för att slutföra prenumerationsprocessen.
Trots deras ondskefulla syfte, tillhandahåller Fleckpe-applikationerna fortfarande deras annonserade funktionalitet till offret. Detta hjälper till att dölja deras verkliga avsikter och minskar sannolikheten för att väcka misstankar.
Cyberbrottslingar fortsätter att uppdatera Fleckpe Android Malware
De senaste versionerna av Fleckpe Mobile skadliga program har genomgått vissa förändringar. Utvecklarna har flyttat en betydande del av koden som utför de obehöriga prenumerationerna från nyttolasten till det ursprungliga biblioteket. Nyttolasten fokuserar nu på att fånga upp meddelanden och visa webbsidor.
Dessutom innehåller den senaste versionen av nyttolasten ett lager av förvirring. Forskare tror att dessa ändringar gjordes för att göra Fleckpe svårare att analysera och öka dess undvikande.
Även om det kanske inte anses vara lika farligt som spionprogram eller skadlig programvara som stjäl data, kan prenumerationstrojaner fortfarande orsaka betydande skada. De kan resultera i obehöriga debiteringar, samla in känslig information om användaren och fungera som ingångspunkter för utplacering av mer potenta nyttolaster.
