Fleckpe 移动恶意软件

在官方 Android 应用商店 Google Play 上发现了一种新的基于 Android 订阅的恶意软件，名为 Fleckpe。该恶意软件伪装成多个合法应用程序，迄今为止已成功积累了超过 600,000 次下载。 Fleckpe 是众多 Android 恶意软件威胁之一，它们以欺诈方式为用户订阅高级服务并产生未经授权的费用。此类恶意软件背后的威胁行为者通过收取通过高级服务产生的部分月度或一次性订阅费来赚钱。

如果威胁行为者自己运营这些服务，他们很可能会保留全部收入。 Fleckpe 的发现是网络犯罪分子利用信誉良好的应用程序商店的信任和流行来分发威胁软件的最新例子。

Fleckpe 通过 Google Play 商店中的木马化应用程序传播

尽管 Fleckpe 特洛伊木马程序已经活跃了一年多，但直到最近才被发现并记录在案。 Fleckpe 的大多数受害者居住在泰国、马来西亚、印度尼西亚、新加坡和波兰，在世界范围内发现的感染人数较少。

到目前为止，已发现并从 Google Play 商店中删除了 11 种携带 Fleckpe 恶意软件的不同应用程序。这些应用程序伪装成图像编辑器、照片库、高级壁纸和其他看似合法的程序。威胁性应用程序的名称是 com.impressionism。 pros.app, com.beauty.camera.plus.photo editor, com.beauty.slimming.pro, com.picture.picture frame, com. microchip.vodeoeditor、com.gif.camera.editor、com.apps.camera.photos、com.toolbox.photoeditor、com.hd.h4ks.wallpaper、com.draw.graffiti 和 com.urox.opixe.nightcamreapro。

尽管所有这些应用程序都已从市场上删除，但攻击者可能会创建其他应用程序，因此安装数量可能会高于目前已知的数量。

Fleckpe 恶意软件未经授权订阅昂贵的服务

当用户安装 Fleckpe 应用程序时，该应用程序会请求访问通知内容。需要此访问权限才能捕获许多高级服务的订阅确认代码。应用程序启动后，它会解码包含错误代码的隐藏负载。执行后，它会尝试联系威胁参与者的命令与控制 (C2) 服务器，以发送有关受感染设备的基本信息。传输的数据包括移动国家代码 (MCC) 和移动网络代码 (MNC)。

作为响应，C2 服务器提供一个网站地址，该木马会在一个不可见的 Web 浏览器窗口中打开该网站地址。恶意软件会在受害者不知情或未同意的情况下为其订阅付费服务。如果需要确认码，Fleckpe 会从设备的通知中检索它并在隐藏屏幕上提交以完成订阅过程。

尽管他们的目的是邪恶的，但 Fleckpe 应用程序仍然向受害者提供他们宣传的功能。这有助于隐藏他们的真实意图并减少引起怀疑的可能性。

网络犯罪分子继续更新 Fleckpe Android 恶意软件

最新版本的 Fleckpe Mobile 恶意软件发生了一些变化。开发人员已将执行未经授权订阅的代码的很大一部分从有效负载移至本机库。有效负载现在专注于拦截通知和显示网页。

此外，最新版本的有效载荷包括一层混淆。研究人员认为，进行这些修改是为了让 Fleckpe 更难分析并增加其规避性。

虽然它可能不像间谍软件或数据窃取恶意软件那样危险，但订阅木马仍然会造成重大危害。它们可能导致未经授权的收费，收集有关用户的敏感信息，并充当部署更强大有效负载的入口点。