Malware Fleckpe Android se vplížil do služby Google Play s více než 620 000 staženími

V obchodě Google Play byl odhalen nový malware pro Android s názvem Fleckpe, který od roku 2022 nasbíral celkem více než 620 000 stažení.

Společnost Kaspersky, která v oficiálním obchodě s aplikacemi identifikovala 11 aplikací, uvedla, že malware se maskuje jako legitimní aplikace pro úpravu fotografií a videí. Aplikace byly od té doby staženy.

Operace se zaměřuje především na uživatele z Thajska, ačkoli telemetrické údaje shromážděné ruskou kyberbezpečností firmou odhalily oběti v Polsku, Malajsii, Indonésii a Singapuru. Aplikace dále nabízejí slibované funkce, aby nevyvolávaly podezření, ale pod kapotou skrývají svůj skutečný účel. Seznam inkriminovaných aplikací je následující:

• Beauty Camera Plus (com.beauty.camera.plus.photoeditor)
• Beauty Photo Camera (com.apps.camera.photos)
• Beauty Slimming Photo Editor (com.beauty.slimming.pro).
• Fingertip Graffiti (com.draw.graffiti)
• Editor GIF fotoaparátu (com.gif.camera.editor)
• HD 4K Wallpaper (com.hd.h4ks.wallpaper)
• Impressionism Pro Camera (com.impressionism.prozs.app)
• Editor videa Microclip (com.microclip.vodeoeditor)
• Noční režim Camera Pro (com.urox.opixe.nightcamreapro)
• Editor fotoaparátů (com.toolbox.photoeditor)
• Editor fotografických efektů (com.picture.pictureframe)

“Po spuštění aplikace načte silně zamaskovanou nativní knihovnu obsahující škodlivý dropper, který dešifruje a spustí payload z prostředků aplikace,” uvedl Dmitrij Kalinin, výzkumník společnosti Kaspersky.

Payload je navržen tak, aby kontaktovala vzdálený server a předala informace o napadeném zařízení (např. kód země mobilního telefonu a kód mobilní sítě), načež server odpoví zpět stránkou s placeným předplatným.

Malware následně otevře stránku v neviditelném okně webového prohlížeče a pokusí se o předplatné jménem uživatele zneužitím jeho oprávnění k přístupu k oznámením a získání potvrzovacího kódu potřebného k dokončení kroku.

Na znamení toho, že Fleckpe je aktivně vyvíjen, přesunuly poslední verze malwaru většinu škodlivých funkcí do nativní knihovny ve snaze vyhnout se detekci bezpečnostními nástroji.

“Payloaddd nyní pouze zachycuje oznámení a zobrazuje webové stránky, přičemž funguje jako most mezi nativním kódem a komponentami systému Android, které jsou nutné pro zakoupení předplatného,” poznamenal Kalinin.

“Na rozdíl od nativní knihovny nemá payload téměř žádné možnosti vyhýbání, ačkoli škodliví aktéři do nejnovější verze přidali určitou míru šifrování kódu.”

Není to poprvé, co byl v obchodě Google Play nalezen malware způsobující předplatné. Fleckpe se připojuje k dalším rodinám fleecewaru, jako jsou Joker (známý také jako Bread nebo Jocker) a Harly, které infikovaná zařízení předplácejí k nechtěným prémiovým službám a provádějí podvody s vyúčtováním.

Takové aplikace sice nejsou tak nebezpečné jako spyware nebo finanční trojské koně, ale i tak mohou způsobit neoprávněné poplatky a jejich provozovatelé je mohou využít ke sběru nejrůznějších citlivých informací a sloužit jako vstupní body pro další nekalý malware.

Pokud něco, pak jsou tato zjištění dalším důkazem toho, že aktéři hrozeb stále objevují nové způsoby, jak propašovat své aplikace na oficiální tržiště aplikací a rozšířit tak své kampaně, což vyžaduje, aby uživatelé byli při stahování aplikací a udělování oprávnění k nim obezřetní.

“Rostoucí složitost trojských koní jim umožnila úspěšně obejít mnoho kontrol proti škodlivému softwaru zavedených tržištěmi, a zůstat tak dlouho neodhaleni,” uvedl Kalinin.

Filip Blaha, redakce Cyberblog
Zdroj: The Hacker News
Foto: Bing