Νέο κακόβουλο λογισμικό Fleckpe Android εγκαταστάθηκε 600 χιλιάδες φορές στο Google Play
Related Posts
Ένα νέο κακόβουλο λογισμικό συνδρομής Android με το όνομα «Fleckpe» έχει εντοπιστεί στο Google Play, το επίσημο κατάστημα εφαρμογών Android, μεταμφιεσμένο ως νόμιμες εφαρμογές που έχουν ληφθεί πάνω από 620.000 φορές.
Η Kaspersky αποκαλύπτει ότι το Fleckpe είναι η πιο πρόσφατη προσθήκη στη σφαίρα του κακόβουλου λογισμικού που δημιουργεί μη εξουσιοδοτημένες χρεώσεις εγγράφοντας χρήστες σε υπηρεσίες premium, εντάσσοντας τις τάξεις άλλων κακόβουλων κακόβουλων προγραμμάτων Android, όπως το Jocker και
Χάρλι
.
Οι φορείς απειλών κερδίζουν χρήματα από μη εξουσιοδοτημένες συνδρομές λαμβάνοντας ένα μερίδιο από τις μηνιαίες ή εφάπαξ συνδρομές που δημιουργούνται μέσω των υπηρεσιών premium. Όταν οι φορείς απειλών λειτουργούν τις υπηρεσίες, διατηρούν το σύνολο των εσόδων.
Τα δεδομένα της Kaspersky υποδηλώνουν ότι το trojan ήταν ενεργό από πέρυσι, αλλά μόλις πρόσφατα ανακαλύφθηκε και τεκμηριώθηκε.
Τα περισσότερα θύματα του Fleckpe κατοικούν στην Ταϊλάνδη, τη Μαλαισία, την Ινδονησία, τη Σιγκαπούρη και την Πολωνία, αλλά μικρότερος αριθμός μολύνσεων εντοπίζεται σε ολόκληρο τον κόσμο.
Η Kaspersky ανακάλυψε 11 εφαρμογές trojan Fleckpe που μιμούνται προγράμματα επεξεργασίας εικόνων, βιβλιοθήκες φωτογραφιών, ταπετσαρίες υψηλής ποιότητας και άλλα στο Google Play, που διανέμονται με τα ακόλουθα ονόματα:
- com.impressionism.prozs.app
- com.picture.pictureframe
- com.beauty.slimming.pro
- com.beauty.camera.plus.photoeditor
- com.microclip.vodeoeditor
- com.gif.camera.editor
- com.apps.camera.photos
- com.toolbox.photoeditor
- com.hd.h4ks. wallpaper
- com.draw.graffiti
- com.urox.opixe.nightcamreapro
“Όλες οι εφαρμογές είχαν αφαιρεθεί από την αγορά μέχρι τη δημοσίευση της αναφοράς μας, αλλά οι κακόβουλοι παράγοντες μπορεί να είχαν αναπτύξει άλλες, άγνωστες ακόμη εφαρμογές, οπότε ο πραγματικός αριθμός των εγκαταστάσεων θα μπορούσε να είναι μεγαλύτερος.” εξηγεί η Kaspersky στο
την έκθεσή του
.
Συνιστάται στους χρήστες Android που έχουν εγκαταστήσει προηγουμένως τις εφαρμογές που αναφέρονται παραπάνω να τις αφαιρέσουν αμέσως και να εκτελέσουν μια σάρωση AV για να ξεριζώσουν τυχόν υπολείμματα κακόβουλου κώδικα που εξακολουθεί να είναι κρυμμένο στη συσκευή.
Εφαρμογή Fleckpe trojan στο Google Play
(Kaspersky)
Εγγραφή σας στο παρασκήνιο
Κατά την εγκατάσταση, η κακόβουλη εφαρμογή ζητά πρόσβαση στο περιεχόμενο ειδοποιήσεων που απαιτείται για τη λήψη κωδικών επιβεβαίωσης συνδρομής σε πολλές premium υπηρεσίες.
Όταν εκκινείται μια εφαρμογή Fleckpe, αποκωδικοποιεί ένα κρυφό ωφέλιμο φορτίο που περιέχει κακόβουλο κώδικα, ο οποίος στη συνέχεια εκτελείται.
Αυτό το ωφέλιμο φορτίο είναι υπεύθυνο για την επικοινωνία με τον διακομιστή εντολών και ελέγχου (C2) του παράγοντα απειλής για την αποστολή βασικών πληροφοριών σχετικά με τη συσκευή που μολύνθηκε πρόσφατα, συμπεριλαμβανομένων των MCC (Κωδικός κινητής χώρας) και MNC (Κωδικός δικτύου κινητής τηλεφωνίας).
Το C2 απαντά με μια διεύθυνση ιστότοπου, την οποία ανοίγει ο trojan σε ένα αόρατο παράθυρο του προγράμματος περιήγησης και εγγράφει το θύμα σε μια premium υπηρεσία.
Εάν πρέπει να εισαχθεί ένας κωδικός επιβεβαίωσης, το κακόβουλο λογισμικό θα τον ανακτήσει από τις ειδοποιήσεις της συσκευής και θα τον υποβάλει στην κρυφή οθόνη για να οριστικοποιήσει τη συνδρομή.
Το πρώτο πλάνο της εφαρμογής εξακολουθεί να προσφέρει στα θύματα την υποσχεμένη λειτουργικότητα, αποκρύπτοντας τον πραγματικό τους σκοπό και μειώνοντας την πιθανότητα να εγείρουν υποψίες.
Στις πιο πρόσφατες εκδόσεις του Fleckpe που αναλύθηκαν από την Kaspersky, οι προγραμματιστές έχουν μεταφέρει το μεγαλύτερο μέρος του κώδικα συνδρομής από το ωφέλιμο φορτίο στην εγγενή βιβλιοθήκη, αφήνοντας το ωφέλιμο φορτίο υπεύθυνο για την παρακολούθηση ειδοποιήσεων και την εμφάνιση ιστοσελίδων.
.jpg)
Υποκλοπή περιεχομένου ειδοποιήσεων
(Kaspersky)
Επιπλέον, ένα επίπεδο συσκότισης έχει ενσωματωθεί στην πιο πρόσφατη έκδοση ωφέλιμου φορτίου.
Η Kaspersky πιστεύει ότι οι δημιουργοί του κακόβουλου λογισμικού εφάρμοσαν αυτές τις τροποποιήσεις για να αυξήσουν την υπεκφυγή του Fleckpe και να κάνουν πιο δύσκολη την ανάλυση.
Αν και δεν είναι τόσο επικίνδυνο όσο το λογισμικό υποκλοπής δεδομένων ή το κακόβουλο λογισμικό υποκλοπής δεδομένων, τα trojan συνδρομής μπορούν να επιβαρύνονται με μη εξουσιοδοτημένες χρεώσεις, να συλλέγουν ευαίσθητες πληροφορίες σχετικά με τον χρήστη της μολυσμένης συσκευής και ενδεχομένως να χρησιμεύουν ως σημεία εισόδου για πιο ισχυρά ωφέλιμα φορτία.
Για την προστασία από αυτές τις απειλές, συνιστάται στους χρήστες Android να πραγματοποιούν λήψη εφαρμογών μόνο από αξιόπιστες πηγές και προγραμματιστές και να δίνουν προσοχή στις απαιτούμενες άδειες κατά την εγκατάσταση.
