Fleckpe 移動惡意軟件

在官方 Android 應用商店 Google Play 上發現了一種新的基於 Android 訂閱的惡意軟件，名為 Fleckpe。該惡意軟件偽裝成多個合法應用程序，迄今為止已成功積累了超過 600,000 次下載。 Fleckpe 是眾多 Android 惡意軟件威脅之一，它們以欺詐方式為用戶訂閱高級服務並產生未經授權的費用。此類惡意軟件背後的威脅行為者通過收取通過高級服務產生的部分月度或一次性訂閱費來賺錢。

如果威脅行為者自己運營這些服務，他們很可能會保留全部收入。 Fleckpe 的發現是網絡犯罪分子利用信譽良好的應用程序商店的信任和流行來分發威脅軟件的最新例子。

Fleckpe 通過 Google Play 商店中的木馬化應用程序傳播

儘管 Fleckpe 特洛伊木馬程序已經活躍了一年多，但直到最近才被發現並記錄在案。 Fleckpe 的大多數受害者居住在泰國、馬來西亞、印度尼西亞、新加坡和波蘭，在世界範圍內發現的感染人數較少。

到目前為止，已發現並從 Google Play 商店中刪除了 11 種攜帶 Fleckpe 惡意軟件的不同應用程序。這些應用程序偽裝成圖像編輯器、照片庫、高級壁紙和其他看似合法的程序。威脅性應用程序的名稱是 com.impressionism。 pros.app, com.beauty.camera.plus.photo editor, com.beauty.slimming.pro, com.picture.picture frame, com. microchip.vodeoeditor、com.gif.camera.editor、com.apps.camera.photos、com.toolbox.photoeditor、com.hd.h4ks.wallpaper、com.draw.graffiti 和 com.urox.opixe.nightcamreapro。

儘管所有這些應用程序都已從市場上刪除，但攻擊者可能會創建其他應用程序，因此安裝數量可能會高於目前已知的數量。

Fleckpe 惡意軟件未經授權訂閱昂貴的服務

當用戶安裝 Fleckpe 應用程序時，該應用程序會請求訪問通知內容。需要此訪問權限才能捕獲許多高級服務的訂閱確認代碼。應用程序啟動後，它會解碼包含錯誤代碼的隱藏負載。執行後，它會嘗試聯繫威脅參與者的命令與控制 (C2) 服務器，以發送有關受感染設備的基本信息。傳輸的數據包括移動國家代碼 (MCC) 和移動網絡代碼 (MNC)。

作為響應，C2 服務器提供一個網站地址，該木馬會在一個不可見的 Web 瀏覽器窗口中打開該網站地址。惡意軟件會在受害者不知情或未同意的情況下為其訂閱付費服務。如果需要確認碼，Fleckpe 會從設備的通知中檢索它並在隱藏屏幕上提交以完成訂閱過程。

儘管他們的目的是邪惡的，但 Fleckpe 應用程序仍然向受害者提供他們宣傳的功能。這有助於隱藏他們的真實意圖並減少引起懷疑的可能性。

網絡犯罪分子繼續更新 Fleckpe Android 惡意軟件

最新版本的 Fleckpe Mobile 惡意軟件發生了一些變化。開發人員已將執行未經授權訂閱的代碼的很大一部分從有效負載移至本機庫。有效負載現在專注於攔截通知和顯示網頁。

此外，最新版本的有效載荷包括一層混淆。研究人員認為，進行這些修改是為了讓 Fleckpe 更難分析並增加其規避性。

雖然它可能不像間諜軟件或數據竊取惡意軟件那樣危險，但訂閱木馬仍然會造成重大危害。它們可能導致未經授權的收費，收集有關用戶的敏感信息，並充當部署更強大有效負載的入口點。