Ένα νέο Android subscription malware, με την ονομασία “Fleckpe”, εντοπίστηκε στο Google Play -το επίσημο κατάστημα εφαρμογών Android- μεταμφιεσμένο σε νόμιμες εφαρμογές. Έχει κατέβει πάνω από 620.000 φορές.
Η Kaspersky αποκάλυψε ότι το Fleckpe είναι η νεότερη προσθήκη στη σφαίρα του κακόβουλου λογισμικού, που δημιουργεί μη εξουσιοδοτημένες χρεώσεις με τη συνδρομή των χρηστών σε premium υπηρεσίες και εντάσσεται σε άλλα κακόβουλα κακόβουλα προγράμματα Android, όπως το Jocker και το Harly.
Οι απελητικοί παράγοντες κερδίζουν χρήματα από μη εξουσιοδοτημένες συνδρομές, λαμβάνοντας μερίδιο από τις μηνιαίες ή εφάπαξ συνδρομές που δημιουργούνται μέσω των premium υπηρεσιών. Όταν λειτουργούν τις υπηρεσίες, διατηρούν το σύνολο των εσόδων.
Τα δεδομένα της Kaspersky υποδεικνύουν ότι το Trojan ήταν ενεργό από πέρυσι, αλλά ανακαλύφθηκε και τεκμηριώθηκε μόλις πρόσφατα.
Τα περισσότερα θύματα του Fleckpe κατοικούν στην Ταϊλάνδη, τη Μαλαισία, την Ινδονησία, τη Σιγκαπούρη και την Πολωνία, ωστόσο, ένας μικρότερος αριθμός μολύνσεων εντοπίζεται σε όλο τον κόσμο.
Η Kaspersky ανακάλυψε 11 εφαρμογές Fleckpe Trojan που παρίσταναν επεξεργαστές εικόνας, βιβλιοθήκες φωτογραφιών, premium wallpapers και άλλα στο Google Play, οι οποίες διανέμονταν με τα ακόλουθα ονόματα:
- com.impressionism.prozs.app
- com.picture.pictureframe
- com.beauty.slimming.pro
- com.beauty.camera.plus.photoeditor
- com.microclip.vodeoeditor
- com.gif.camera.editor
- com.apps.camera.photos
- com.toolbox.photoeditor
- com.hd.h4ks.wallpaper
- com.draw.graffiti
- com.urox.opixe.nightcamreapro
Οι χρήστες Android που έχουν εγκαταστήσει τις προαναφερθείσες εφαρμογές θα πρέπει να τις αφαιρέσουν αμέσως και να εκτελέσουν σάρωση AV για να εξαλείψουν τυχόν υπολείμματα κακόβουλου κώδικα που εξακολουθούν να υπάρχουν στη συσκευή.
Κατά την εγκατάσταση, η κακόβουλη εφαρμογή ζητά πρόσβαση στο περιεχόμενο ειδοποίησης που απαιτείται για τη λήψη κωδικών επιβεβαίωσης συνδρομής σε πολλές υπηρεσίες premium.
Όταν μια εφαρμογή Fleckpe εκκινείται, αποκωδικοποιεί ένα κρυμμένο ωφέλιμο φορτίο που περιέχει κακόβουλο κώδικα, ο οποίος στη συνέχεια εκτελείται.
Αυτό το ωφέλιμο φορτίο είναι υπεύθυνο για την επικοινωνία με τον διακομιστή διοίκησης και ελέγχου (C2) του απειλητικού φορέα για την αποστολή βασικών πληροφοριών σχετικά με τη νέα μολυσμένη συσκευή, συμπεριλαμβανομένων των κωδικών MCC (Mobile Country Code) και MNC (Mobile Network Code).
Το C2 απαντά με μια διεύθυνση ιστότοπου, την οποία το Trojan ανοίγει σε ένα αόρατο παράθυρο του προγράμματος περιήγησης στο διαδίκτυο και εγγράφει το θύμα σε μια υπηρεσία υψηλής χρέωσης.
Εάν χρειάζεται να εισαχθεί ένας κωδικός επιβεβαίωσης, το κακόβουλο λογισμικό θα τον ανακτήσει από τις ειδοποιήσεις της συσκευής και θα τον υποβάλει στην κρυφή οθόνη για να οριστικοποιήσει τη συνδρομή.
Το προσκήνιο της εφαρμογής εξακολουθεί να προσφέρει στα θύματα την υποσχόμενη λειτουργικότητα, αποκρύπτοντας τον πραγματικό της σκοπό και μειώνοντας την πιθανότητα να κινήσει υποψίες.
Στις τελευταίες εκδόσεις του Fleckpe που αναλύθηκαν από την Kaspersky, οι προγραμματιστές έχουν μετατοπίσει το μεγαλύτερο μέρος του κώδικα συνδρομής από το ωφέλιμο φορτίο στην εγγενή βιβλιοθήκη, αφήνοντας το ωφέλιμο φορτίο υπεύθυνο για την υποκλοπή ειδοποιήσεων και την εμφάνιση ιστοσελίδων.
Επιπλέον, στην πιο πρόσφατη έκδοση του ωφέλιμου φορτίου έχει ενσωματωθεί ένα layer obfuscation.
Η Kaspersky πιστεύει ότι οι δημιουργοί του κακόβουλου λογισμικού εφάρμοσαν αυτές τις τροποποιήσεις για να αυξήσουν τη δυνατότητα αποφυγής του Fleckpe και να το καταστήσουν πιο δύσκολο να αναλυθεί.
Παρόλο που δεν είναι τόσο επικίνδυνα όσο το spyware ή το κακόβουλο λογισμικό που κλέβει δεδομένα, τα συνδρομητικά trojans μπορούν να προκαλέσουν μη εξουσιοδοτημένες χρεώσεις, να συλλέξουν ευαίσθητες πληροφορίες σχετικά με τον χρήστη της μολυσμένης συσκευής και ενδεχομένως να χρησιμεύσουν ως σημεία εισόδου για πιο ισχυρά ωφέλιμα φορτία.
Για να προστατευτούν από αυτές τις απειλές, οι χρήστες του Android συνιστάται να κατεβάζουν εφαρμογές μόνο από αξιόπιστες πηγές και προγραμματιστές και να δίνουν προσοχή στα απαιτούμενα δικαιώματα κατά την εγκατάσταση.
Πηγή: bleepingcomputer.com