Fleckpe มัลแวร์บนมือถือ

มัลแวร์ตัวใหม่ที่สมัครสมาชิกกับ Android ชื่อ Fleckpe ถูกค้นพบใน Google Play ซึ่งเป็นร้านแอปอย่างเป็นทางการของ Android มัลแวร์ดังกล่าวแฝงตัวเป็นแอปพลิเคชั่นที่ถูกกฎหมายหลายตัว และจนถึงขณะนี้มีการดาวน์โหลดมากกว่า 600,000 ครั้ง Fleckpe เป็นหนึ่งในภัยคุกคามจากมัลแวร์ Android ที่หลอกลวงผู้ใช้เพื่อสมัครบริการระดับพรีเมียมและก่อให้เกิดการเรียกเก็บเงินที่ไม่ได้รับอนุญาต ผู้คุกคามที่อยู่เบื้องหลังมัลแวร์ดังกล่าวสร้างรายได้โดยรับส่วนหนึ่งของค่าธรรมเนียมการสมัครสมาชิกรายเดือนหรือแบบครั้งเดียวที่สร้างผ่านบริการระดับพรีเมียม

หากผู้คุกคามดำเนินการบริการเอง พวกเขามีแนวโน้มที่จะรักษารายได้ทั้งหมด การค้นพบของ Fleckpe เป็นตัวอย่างล่าสุดของอาชญากรไซเบอร์ที่ใช้ประโยชน์จากความไว้วางใจและความนิยมของร้านค้าแอปพลิเคชันที่มีชื่อเสียงเพื่อแจกจ่ายซอฟต์แวร์คุกคาม

Fleckpe แพร่กระจายผ่านแอปพลิเคชันโทรจันบน Google Play Store

แม้ว่าโทรจัน Fleckpe จะทำงานมานานกว่าหนึ่งปี แต่เพิ่งถูกค้นพบและจัดทำเป็นเอกสารเมื่อไม่นานมานี้ ผู้ที่ตกเป็นเหยื่อของ Fleckpe ส่วนใหญ่อาศัยอยู่ในประเทศไทย มาเลเซีย อินโดนีเซีย สิงคโปร์ และโปแลนด์ โดยมีจำนวนผู้ติดเชื้อน้อยกว่าทั่วโลก

จนถึงตอนนี้ 11 แอปพลิเคชันที่มีมัลแวร์ Fleckpe ถูกค้นพบและนำออกจาก Google Play Store แอปพลิเคชันเหล่านี้ถูกปลอมแปลงเป็นโปรแกรมแก้ไขรูปภาพ ไลบรารีรูปภาพ วอลเปเปอร์พรีเมียม และโปรแกรมอื่นๆ ที่ดูเหมือนถูกต้องตามกฎหมาย ชื่อของแอปพลิเคชั่นที่คุกคามคือ com.impressionism pros.app, com.beauty.camera.plus.photo editor, com.beauty.slimming.pro, com.picture.picture frame, com microchip.vodeoeditor, com.gif.camera.editor, com.apps.camera.photos, com.toolbox.photoeditor, com.hd.h4ks.wallpaper, com.draw.graffiti และ com.urox.opixe.nightcamreapro

แม้ว่าแอปพลิเคชันเหล่านี้ทั้งหมดจะถูกลบออกจากตลาดแล้ว แต่เป็นไปได้ว่าผู้โจมตีอาจสร้างแอปพลิเคชันอื่น ดังนั้นจำนวนการติดตั้งอาจสูงกว่าที่ทราบในปัจจุบัน

มัลแวร์ Fleckpe ทำการสมัครใช้บริการราคาแพงโดยไม่ได้รับอนุญาต

เมื่อผู้ใช้ติดตั้งแอพ Fleckpe แอพพลิเคชั่นจะขอเข้าถึงเนื้อหาการแจ้งเตือน การเข้าถึงนี้จำเป็นต้องบันทึกรหัสยืนยันการสมัครสมาชิกในบริการระดับพรีเมียมมากมาย เมื่อเปิดแอปพลิเคชันแล้ว จะถอดรหัสเพย์โหลดที่ซ่อนอยู่ซึ่งมีโค้ดที่ไม่ถูกต้อง เมื่อดำเนินการแล้ว จะพยายามติดต่อเซิร์ฟเวอร์ Command-and-Control (C2) ของผู้คุกคามเพื่อส่งข้อมูลพื้นฐานเกี่ยวกับอุปกรณ์ที่ติดไวรัส ข้อมูลที่ส่งประกอบด้วยรหัสประเทศมือถือ (MCC) และรหัสเครือข่ายมือถือ (MNC)

ในการตอบสนอง เซิร์ฟเวอร์ C2 ให้ที่อยู่เว็บไซต์ที่โทรจันเปิดในหน้าต่างเว็บเบราว์เซอร์ที่มองไม่เห็น มัลแวร์สมัครใช้บริการระดับพรีเมียมของเหยื่อโดยที่พวกเขาไม่รู้หรือไม่ยินยอม หากจำเป็นต้องใช้รหัสยืนยัน Fleckpe จะดึงข้อมูลดังกล่าวจากการแจ้งเตือนของอุปกรณ์และส่งไปยังหน้าจอที่ซ่อนไว้เพื่อดำเนินการขั้นตอนการสมัครสมาชิกให้เสร็จสิ้น

แม้จะมีจุดประสงค์ที่ชั่วร้าย แต่แอปพลิเคชัน Fleckpe ก็ยังคงให้ฟังก์ชันการทำงานที่โฆษณาไว้แก่เหยื่อ สิ่งนี้ช่วยปกปิดเจตนาที่แท้จริงของพวกเขาและลดโอกาสที่จะเกิดความสงสัย

อาชญากรไซเบอร์อัปเดตมัลแวร์ Fleckpe Android อย่างต่อเนื่อง

มัลแวร์ Fleckpe Mobile เวอร์ชันล่าสุดมีการเปลี่ยนแปลงบางอย่าง นักพัฒนาได้ย้ายส่วนสำคัญของโค้ดที่ดำเนินการสมัครรับข้อมูลโดยไม่ได้รับอนุญาตจากเพย์โหลดไปยังไลบรารีเนทีฟ ตอนนี้เพย์โหลดมุ่งเน้นไปที่การสกัดกั้นการแจ้งเตือนและการแสดงหน้าเว็บ

ยิ่งไปกว่านั้น เพย์โหลดเวอร์ชันล่าสุดยังมีชั้นของการทำให้งงงวย นักวิจัยเชื่อว่าการปรับเปลี่ยนเหล่านี้ทำให้ Fleckpe วิเคราะห์ได้ยากขึ้นและเพิ่มความสามารถในการหลบหลีก

แม้ว่าจะไม่ถือว่ามีอันตรายเท่าสปายแวร์หรือมัลแวร์ขโมยข้อมูล แต่โทรจันแบบบอกรับสมาชิกก็ยังก่อให้เกิดอันตรายได้ สิ่งเหล่านี้อาจส่งผลให้เกิดการเรียกเก็บเงินที่ไม่ได้รับอนุญาต รวบรวมข้อมูลที่ละเอียดอ่อนเกี่ยวกับผู้ใช้ และทำหน้าที่เป็นจุดเริ่มต้นสำหรับการปรับใช้เพย์โหลดที่มีศักยภาพมากขึ้น