Fleckpe Mobile Malware
Isang bagong Android subscription-based malware, na pinangalanang Fleckpe, ay natuklasan sa Google Play, ang opisyal na Android app store. Ang malware ay na-camouflag bilang ilang mga lehitimong application at hanggang ngayon ay nakaipon ng mahigit 600 000 download. Ang Fleckpe ay isa sa maraming banta ng malware sa Android na mapanlinlang na nagsu-subscribe sa mga user sa mga premium na serbisyo at bumubuo ng mga hindi awtorisadong singil. Ang mga banta sa likod ng naturang malware ay kumikita sa pamamagitan ng pagtanggap ng isang bahagi ng buwanan o isang beses na bayad sa subscription na nabuo sa pamamagitan ng mga premium na serbisyo.
Kung ang mga banta mismo ang nagpapatakbo ng mga serbisyo, malamang na panatilihin nila ang buong kita. Ang pagtuklas ni Fleckpe ay ang pinakabagong halimbawa ng mga cybercriminal na nagsasamantala sa tiwala at katanyagan ng mga kagalang-galang na tindahan ng application upang ipamahagi ang nagbabantang software.
Talaan ng mga Nilalaman
Kumalat ang Fleckpe sa pamamagitan ng Mga Trojanized na Application sa Google Play Store
Bagama't ang Fleckpe Trojan ay naging aktibo sa loob ng mahigit isang taon, ito ay kamakailan lamang natuklasan at naidokumento. Ang karamihan ng mga biktima ni Fleckpe ay naninirahan sa Thailand, Malaysia, Indonesia, Singapore, at Poland, na may mas maliit na bilang ng mga impeksyon na natagpuan sa buong mundo.
Sa ngayon, 11 iba't ibang application na naglalaman ng Fleckpe malware ang natuklasan at inalis sa Google Play store. Ang mga application na ito ay itinago bilang mga editor ng larawan, mga aklatan ng larawan, mga premium na wallpaper, at iba pang tila mga lehitimong programa. Ang mga pangalan ng mga nagbabantang aplikasyon ay com.impressionism. pros.app, com.beauty.camera.plus.photo editor, com.beauty.slimming.pro, com.picture.picture frame, com. microchip.vodeoeditor, com.gif.camera.editor, com.apps.camera.photos, com.toolbox.photoeditor, com.hd.h4ks.wallpaper, com.draw.graffiti at com.urox.opixe.nightcamreapro.
Bagama't ang lahat ng mga application na ito ay inalis mula sa marketplace, posible na ang mga umaatake ay maaaring lumikha ng iba pang mga application, kaya ang bilang ng mga pag-install ay maaaring mas mataas kaysa sa kasalukuyang kilala.
Gumagawa ang Fleckpe Malware ng Mga Hindi Awtorisadong Subscription sa Mamahaling Serbisyo
Kapag nag-install ang isang user ng Fleckpe app, humihiling ang application ng access sa content ng notification. Ang access na ito ay kinakailangan upang makuha ang mga code sa pagkumpirma ng subscription sa maraming mga premium na serbisyo. Kapag nailunsad na ang application, nagde-decode ito ng nakatagong payload na naglalaman ng masamang code. Kapag naisakatuparan, sinusubukan nitong makipag-ugnayan sa Command-and-Control (C2) server ng threat actor para magpadala ng pangunahing impormasyon tungkol sa infected na device. Kasama sa ipinadalang data ang Mobile Country Code (MCC) at Mobile Network Code (MNC).
Bilang tugon, ang C2 server ay nagbibigay ng isang website address na binubuksan ng Trojan sa isang invisible na window ng web browser. Ini-subscribe ng malware ang biktima sa isang premium na serbisyo nang hindi nila alam o pahintulot. Kung kailangan ng confirmation code, kukunin ito ng Fleckpe mula sa mga notification ng device at isusumite ito sa hidden screen para makumpleto ang proseso ng subscription.
Sa kabila ng kanilang kasuklam-suklam na layunin, ang mga aplikasyon ng Fleckpe ay nagbibigay pa rin ng kanilang ina-advertise na pagpapaandar sa biktima. Nakakatulong ito na itago ang kanilang tunay na intensyon at binabawasan ang posibilidad na magtaas ng hinala.
Patuloy na Ina-update ng mga Cybercriminal ang Fleckpe Android Malware
Ang pinakabagong mga bersyon ng Fleckpe Mobile malware ay sumailalim sa ilang mga pagbabago. Inilipat ng mga developer ang isang mahalagang bahagi ng code na nagsasagawa ng mga hindi awtorisadong subscription mula sa payload patungo sa katutubong library. Nakatuon na ngayon ang payload sa pagharang ng mga notification at pagpapakita ng mga web page.
Bukod dito, ang pinakabagong bersyon ng payload ay may kasamang layer ng obfuscation. Naniniwala ang mga mananaliksik na ang mga pagbabagong ito ay ginawa upang gawing mas mahirap ang Fleckpe na pag-aralan at palakihin ang pagiging iwas nito.
Bagama't hindi ito maaaring ituring na kasing delikado ng spyware o malware sa pagnanakaw ng data, maaari pa ring magdulot ng malaking pinsala ang subscription Trojans. Maaari silang magresulta sa mga hindi awtorisadong pagsingil, mangolekta ng sensitibong impormasyon tungkol sa user, at kumilos bilang mga entry point para sa pag-deploy ng mas makapangyarihang mga payload.
