Зловмисне програмне забезпечення для мобільних пристроїв Fleckpe
В Google Play, офіційному магазині додатків для Android, було виявлено нове зловмисне програмне забезпечення Android на основі підписки під назвою Fleckpe. Зловмисне програмне забезпечення замасковано під кілька законних додатків і наразі встигло зібрати понад 600 000 завантажень. Fleckpe — це одна з багатьох загроз зловмисного програмного забезпечення для Android, які шахрайським шляхом підписують користувачів на преміум-сервіси та стягують неавторизовану плату. Зловмисники, які стоять за таким зловмисним програмним забезпеченням, заробляють гроші, отримуючи частину щомісячної або одноразової плати за підписку, яку сплачують преміум-послуги.
Якщо суб’єкти загрози самі керують послугами, вони, швидше за все, залишать собі весь дохід. Відкриття Флекпе є останнім прикладом того, як кіберзлочинці використовують довіру та популярність авторитетних магазинів додатків для розповсюдження загрозливого програмного забезпечення.
Зміст
Fleckpe поширюється через троянізовані програми в Google Play Store
Хоча троян Fleckpe був активним більше року, його виявили й задокументували лише нещодавно. Більшість жертв Fleckpe проживають у Таїланді, Малайзії, Індонезії, Сінгапурі та Польщі, з меншою кількістю інфекцій, виявлених у всьому світі.
На даний момент 11 різних програм, що містять шкідливе програмне забезпечення Fleckpe, були виявлені та видалені з магазину Google Play. Ці програми були замасковані під редактори зображень, бібліотеки фотографій, преміальні шпалери та інші, здавалося б, законні програми. Назви загрозливих додатків ком.імпресіонізм. pros.app, com.beauty.camera.plus.photo editor, com.beauty.slimming.pro, com.picture.picture frame, com. microchip.vodeoeditor, com.gif.camera.editor, com.apps.camera.photos, com.toolbox.photoeditor, com.hd.h4ks.wallpaper, com.draw.graffiti та com.urox.opixe.nightcamreapro.
Хоча всі ці програми було видалено з ринку, можливо, зловмисники можуть створити інші програми, тому кількість встановлень може бути більшою, ніж відомо наразі.
Зловмисне програмне забезпечення Fleckpe здійснює неавторизовану підписку на дорогі послуги
Коли користувач встановлює програму Fleckpe, програма запитує доступ до вмісту сповіщень. Цей доступ потрібен для отримання кодів підтвердження підписки на багато преміум-сервісів. Після запуску програма розшифровує приховане корисне навантаження, яке містить неправильний код. Після виконання він намагається зв’язатися з сервером командування та керування (C2) зловмисника, щоб надіслати основну інформацію про заражений пристрій. Передані дані включають мобільний код країни (MCC) і мобільний код мережі (MNC).
У відповідь сервер C2 надає адресу веб-сайту, яку троян відкриває у невидимому вікні веб-браузера. Зловмисне програмне забезпечення підписує жертву на преміум-сервіс без її відома чи згоди. Якщо потрібен код підтвердження, Fleckpe отримує його зі сповіщень пристрою та надсилає на прихований екран, щоб завершити процес підписки.
Незважаючи на свою мерзенну мету, програми Fleckpe все ще надають жертві свої рекламовані функції. Це допомагає приховати їхні справжні наміри та зменшує ймовірність викликати підозру.
Кіберзлочинці продовжують оновлювати зловмисне програмне забезпечення Android Fleckpe
Останні версії шкідливого програмного забезпечення Fleckpe Mobile зазнали деяких змін. Розробники перемістили значну частину коду, що здійснює несанкціоновані підписки, з корисного навантаження в нативну бібліотеку. Корисне навантаження тепер зосереджено на перехопленні сповіщень і відображенні веб-сторінок.
Крім того, остання версія корисного навантаження містить рівень обфускації. Дослідники вважають, що ці модифікації були зроблені, щоб ускладнити аналіз Fleckpe і збільшити його ухиляння.
Хоча це не так небезпечно, як шпигунське програмне забезпечення або зловмисне програмне забезпечення, що викрадає дані, трояни для підписки можуть завдати значної шкоди. Вони можуть призвести до несанкціонованого стягнення плати, збору конфіденційної інформації про користувача та виступати як точки входу для розгортання більш потужних корисних навантажень.
