Phần mềm độc hại di động Fleckpe
Một phần mềm độc hại dựa trên đăng ký Android mới, có tên là Fleckpe, đã được phát hiện trên Google Play, cửa hàng ứng dụng Android chính thức. Phần mềm độc hại được ngụy trang dưới dạng một số ứng dụng hợp pháp và cho đến nay đã quản lý để tích lũy được hơn 600 000 lượt tải xuống. Fleckpe là một trong nhiều mối đe dọa phần mềm độc hại Android lừa đảo người dùng đăng ký các dịch vụ cao cấp và tạo ra các khoản phí trái phép. Những kẻ đe dọa đằng sau phần mềm độc hại như vậy kiếm tiền bằng cách nhận một phần phí đăng ký hàng tháng hoặc một lần được tạo thông qua các dịch vụ cao cấp.
Nếu các tác nhân đe dọa tự vận hành dịch vụ, chúng có khả năng giữ lại toàn bộ doanh thu. Phát hiện của Fleckpe là ví dụ mới nhất về việc tội phạm mạng khai thác lòng tin và sự phổ biến của các cửa hàng ứng dụng uy tín để phân phối phần mềm đe dọa.
Mục lục
Fleckpe lây lan qua các ứng dụng bị nhiễm trojan trên Google Play Store
Mặc dù Trojan Fleckpe đã hoạt động hơn một năm nhưng nó chỉ mới được phát hiện và ghi nhận gần đây. Phần lớn nạn nhân của Fleckpe cư trú tại Thái Lan, Malaysia, Indonesia, Singapore và Ba Lan, với một số lượng nhỏ các ca nhiễm bệnh được tìm thấy trên toàn thế giới.
Cho đến nay, 11 ứng dụng khác nhau mang phần mềm độc hại Fleckpe đã được phát hiện và xóa khỏi cửa hàng Google Play. Các ứng dụng này được ngụy trang thành trình chỉnh sửa hình ảnh, thư viện ảnh, hình nền cao cấp và các chương trình có vẻ hợp pháp khác. Tên của các ứng dụng đe dọa là com.impressionism. pros.app, com.beauty.camera.plus.trình chỉnh sửa ảnh, com.beauty.slimming.pro, com.picture.picture frame, com. microchip.vodeoeditor, com.gif.camera.editor, com.apps.camera.photos, com.toolbox.photoeditor, com.hd.h4ks.wallpaper, com.draw.graffiti và com.urox.opixe.nightcamreapro.
Mặc dù tất cả các ứng dụng này đã bị xóa khỏi thị trường, nhưng có thể những kẻ tấn công có thể tạo các ứng dụng khác, vì vậy số lượt cài đặt có thể cao hơn số lượng hiện được biết.
Phần mềm độc hại Fleckpe tạo ra các đăng ký trái phép cho các dịch vụ đắt tiền
Khi người dùng cài đặt ứng dụng Fleckpe, ứng dụng sẽ yêu cầu quyền truy cập vào nội dung thông báo. Cần có quyền truy cập này để lấy mã xác nhận đăng ký trên nhiều dịch vụ cao cấp. Sau khi ứng dụng được khởi chạy, nó sẽ giải mã một tải trọng ẩn chứa mã xấu. Khi được thực thi, nó sẽ cố gắng liên hệ với máy chủ Command-and-Control (C2) của tác nhân đe dọa để gửi thông tin cơ bản về thiết bị bị nhiễm. Dữ liệu được truyền bao gồm Mã quốc gia di động (MCC) và Mã mạng di động (MNC).
Đáp lại, máy chủ C2 cung cấp địa chỉ trang web mà Trojan sẽ mở trong cửa sổ trình duyệt web vô hình. Phần mềm độc hại đăng ký nạn nhân với một dịch vụ cao cấp mà họ không biết hoặc không đồng ý. Nếu cần có mã xác nhận, Fleckpe sẽ truy xuất mã đó từ thông báo của thiết bị và gửi mã đó trên màn hình ẩn để hoàn tất quy trình đăng ký.
Bất chấp mục đích bất chính, các ứng dụng Fleckpe vẫn cung cấp chức năng được quảng cáo cho nạn nhân. Điều này giúp che giấu ý định thực sự của họ và giảm khả năng bị nghi ngờ.
Tội phạm mạng tiếp tục cập nhật phần mềm độc hại Android Fleckpe
Các phiên bản gần đây nhất của phần mềm độc hại Fleckpe Mobile đã trải qua một số thay đổi. Các nhà phát triển đã chuyển một phần quan trọng của mã thực hiện đăng ký trái phép từ tải trọng sang thư viện gốc. Tải trọng hiện tập trung vào việc chặn thông báo và hiển thị các trang web.
Hơn nữa, phiên bản mới nhất của tải trọng bao gồm một lớp che giấu. Các nhà nghiên cứu tin rằng những sửa đổi này được thực hiện để làm cho Fleckpe khó phân tích hơn và tăng khả năng lảng tránh của nó.
Mặc dù có thể không được coi là nguy hiểm như phần mềm gián điệp hoặc phần mềm độc hại đánh cắp dữ liệu, nhưng Trojan đăng ký vẫn có thể gây ra tác hại đáng kể. Chúng có thể dẫn đến các khoản phí trái phép, thu thập thông tin nhạy cảm về người dùng và đóng vai trò là điểm vào để triển khai các tải trọng mạnh hơn.
