Ένα νέο Android subscription malware, με την ονομασία “Fleckpe”, εντοπίστηκε στο Google Play -το επίσημο κατάστημα εφαρμογών Android- μεταμφιεσμένο σε νόμιμες εφαρμογές. Έχει κατέβει πάνω από 620.000 φορές.

Η Kaspersky αποκάλυψε ότι το Fleckpe είναι η νεότερη προσθήκη στη σφαίρα του κακόβουλου λογισμικού, που δημιουργεί μη εξουσιοδοτημένες χρεώσεις με τη συνδρομή των χρηστών σε premium υπηρεσίες και εντάσσεται σε άλλα κακόβουλα κακόβουλα προγράμματα Android, όπως το Jocker και το Harly.

Οι απελητικοί παράγοντες κερδίζουν χρήματα από μη εξουσιοδοτημένες συνδρομές, λαμβάνοντας μερίδιο από τις μηνιαίες ή εφάπαξ συνδρομές που δημιουργούνται μέσω των premium υπηρεσιών. Όταν λειτουργούν τις υπηρεσίες, διατηρούν το σύνολο των εσόδων.

Τα δεδομένα της Kaspersky υποδεικνύουν ότι το Trojan ήταν ενεργό από πέρυσι, αλλά ανακαλύφθηκε και τεκμηριώθηκε μόλις πρόσφατα.

Τα περισσότερα θύματα του Fleckpe κατοικούν στην Ταϊλάνδη, τη Μαλαισία, την Ινδονησία, τη Σιγκαπούρη και την Πολωνία, ωστόσο, ένας μικρότερος αριθμός μολύνσεων εντοπίζεται σε όλο τον κόσμο.

Η Kaspersky ανακάλυψε 11 εφαρμογές Fleckpe Trojan που παρίσταναν επεξεργαστές εικόνας, βιβλιοθήκες φωτογραφιών, premium wallpapers και άλλα στο Google Play, οι οποίες διανέμονταν με τα ακόλουθα ονόματα:

  • com.impressionism.prozs.app
  • com.picture.pictureframe
  • com.beauty.slimming.pro
  • com.beauty.camera.plus.photoeditor
  • com.microclip.vodeoeditor
  • com.gif.camera.editor
  • com.apps.camera.photos
  • com.toolbox.photoeditor
  • com.hd.h4ks.wallpaper
  • com.draw.graffiti
  • com.urox.opixe.nightcamreapro

Οι χρήστες Android που έχουν εγκαταστήσει τις προαναφερθείσες εφαρμογές θα πρέπει να τις αφαιρέσουν αμέσως και να εκτελέσουν σάρωση AV για να εξαλείψουν τυχόν υπολείμματα κακόβουλου κώδικα που εξακολουθούν να υπάρχουν στη συσκευή.

Κατά την εγκατάσταση, η κακόβουλη εφαρμογή ζητά πρόσβαση στο περιεχόμενο ειδοποίησης που απαιτείται για τη λήψη κωδικών επιβεβαίωσης συνδρομής σε πολλές υπηρεσίες premium.

Όταν μια εφαρμογή Fleckpe εκκινείται, αποκωδικοποιεί ένα κρυμμένο ωφέλιμο φορτίο που περιέχει κακόβουλο κώδικα, ο οποίος στη συνέχεια εκτελείται.

Αυτό το ωφέλιμο φορτίο είναι υπεύθυνο για την επικοινωνία με τον διακομιστή διοίκησης και ελέγχου (C2) του απειλητικού φορέα για την αποστολή βασικών πληροφοριών σχετικά με τη νέα μολυσμένη συσκευή, συμπεριλαμβανομένων των κωδικών MCC (Mobile Country Code) και MNC (Mobile Network Code).

Το C2 απαντά με μια διεύθυνση ιστότοπου, την οποία το Trojan ανοίγει σε ένα αόρατο παράθυρο του προγράμματος περιήγησης στο διαδίκτυο και εγγράφει το θύμα σε μια υπηρεσία υψηλής χρέωσης.

Εάν χρειάζεται να εισαχθεί ένας κωδικός επιβεβαίωσης, το κακόβουλο λογισμικό θα τον ανακτήσει από τις ειδοποιήσεις της συσκευής και θα τον υποβάλει στην κρυφή οθόνη για να οριστικοποιήσει τη συνδρομή.

Το προσκήνιο της εφαρμογής εξακολουθεί να προσφέρει στα θύματα την υποσχόμενη λειτουργικότητα, αποκρύπτοντας τον πραγματικό της σκοπό και μειώνοντας την πιθανότητα να κινήσει υποψίες.

Στις τελευταίες εκδόσεις του Fleckpe που αναλύθηκαν από την Kaspersky, οι προγραμματιστές έχουν μετατοπίσει το μεγαλύτερο μέρος του κώδικα συνδρομής από το ωφέλιμο φορτίο στην εγγενή βιβλιοθήκη, αφήνοντας το ωφέλιμο φορτίο υπεύθυνο για την υποκλοπή ειδοποιήσεων και την εμφάνιση ιστοσελίδων.

Επιπλέον, στην πιο πρόσφατη έκδοση του ωφέλιμου φορτίου έχει ενσωματωθεί ένα layer obfuscation.

Η Kaspersky πιστεύει ότι οι δημιουργοί του κακόβουλου λογισμικού εφάρμοσαν αυτές τις τροποποιήσεις για να αυξήσουν τη δυνατότητα αποφυγής του Fleckpe και να το καταστήσουν πιο δύσκολο να αναλυθεί.

Παρόλο που δεν είναι τόσο επικίνδυνα όσο το spyware ή το κακόβουλο λογισμικό που κλέβει δεδομένα, τα συνδρομητικά trojans μπορούν να προκαλέσουν μη εξουσιοδοτημένες χρεώσεις, να συλλέξουν ευαίσθητες πληροφορίες σχετικά με τον χρήστη της μολυσμένης συσκευής και ενδεχομένως να χρησιμεύσουν ως σημεία εισόδου για πιο ισχυρά ωφέλιμα φορτία.

Για να προστατευτούν από αυτές τις απειλές, οι χρήστες του Android συνιστάται να κατεβάζουν εφαρμογές μόνο από αξιόπιστες πηγές και προγραμματιστές και να δίνουν προσοχή στα απαιτούμενα δικαιώματα κατά την εγκατάσταση.

Πηγή: bleepingcomputer.com

Tags:

Αφήστε ένα Σχόλιο

Το e-mail σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *


Διαβάστε επίσης

Ενίσχυση του Ευρωπαϊκού Νομικού Πλαισίου για τις Γραμμές Καταγγελίας (Hotlines) κατά της Σεξουαλικής Κακοποίησης Ανηλίκων στο Διαδίκτυο

Η Ευρωπαϊκή Ένωση προχωρά σε σημαντικές βελτιώσεις του νομικού πλαισίου για την αντιμετώπιση της σεξουαλικής κακοποίησης παιδιών στο διαδίκτυο (CSAM), δίνοντας κεντρικό ρόλο στις γραμμές καταγγελίας (hotlines) και ενισχύοντας τις εξουσίες και τις αρμοδιότητές τους.

Περισσότερα

Συμφωνεί με την Apple για το sideload, ο CEO της Google, αποτρέπει τους χρήστες του Android

Μια μεγάλη διαφορά μεταξύ iOS και Android είναι ότι το δεύτερο επιτρέπει το sideloading, ενώ το δεύτερο όχι.

Περισσότερα

Microsoft Edge: Εξασφάλισε 4 δισ. δολάρια στους χρήστες και απέτρεψε 127 εκ. επιθέσεις phishing

Η ασφάλεια βρίσκεται επίσης στο προσκήνιο για το πρόγραμμα περιήγησης της Microsoft. Σύμφωνα με την εταιρεία, ο Edge απέτρεψε 127 εκατομμύρια επιθέσεις phishing κατά τη διάρκεια του 2023, γεγονός που ισοδυναμεί με την αποτροπή τεσσάρων επιθέσεων phishing κάθε δευτερόλεπτο κατά μέσο όρο.

Περισσότερα