Malware Fleckpe Android se vplížil do služby Google Play s více než 620 000 staženími

by | Čvn 29, 2023 | Aktuální hrozby, Mobilní zařízení a sociální sítě, Nejnovější | 0 comments

V obchodě Google Play byl odhalen nový malware pro Android s názvem Fleckpe, který od roku 2022 nasbíral celkem více než 620 000 stažení.

Společnost Kaspersky, která v oficiálním obchodě s aplikacemi identifikovala 11 aplikací, uvedla, že malware se maskuje jako legitimní aplikace pro úpravu fotografií a videí. Aplikace byly od té doby staženy.

Operace se zaměřuje především na uživatele z Thajska, ačkoli telemetrické údaje shromážděné ruskou kyberbezpečností firmou odhalily oběti v Polsku, Malajsii, Indonésii a Singapuru. Aplikace dále nabízejí slibované funkce, aby nevyvolávaly podezření, ale pod kapotou skrývají svůj skutečný účel. Seznam inkriminovaných aplikací je následující:

  • Beauty Camera Plus (com.beauty.camera.plus.photoeditor)
  • Beauty Photo Camera (com.apps.camera.photos)
  • Beauty Slimming Photo Editor (com.beauty.slimming.pro).
  • Fingertip Graffiti (com.draw.graffiti)
  • Editor GIF fotoaparátu (com.gif.camera.editor)
  • HD 4K Wallpaper (com.hd.h4ks.wallpaper)
  • Impressionism Pro Camera (com.impressionism.prozs.app)
  • Editor videa Microclip (com.microclip.vodeoeditor)
  • Noční režim Camera Pro (com.urox.opixe.nightcamreapro)
  • Editor fotoaparátů (com.toolbox.photoeditor)
  • Editor fotografických efektů (com.picture.pictureframe)

“Po spuštění aplikace načte silně zamaskovanou nativní knihovnu obsahující škodlivý dropper, který dešifruje a spustí payload z prostředků aplikace,” uvedl Dmitrij Kalinin, výzkumník společnosti Kaspersky.

Payload je navržen tak, aby kontaktovala vzdálený server a předala informace o napadeném zařízení (např. kód země mobilního telefonu a kód mobilní sítě), načež server odpoví zpět stránkou s placeným předplatným.

Malware následně otevře stránku v neviditelném okně webového prohlížeče a pokusí se o předplatné jménem uživatele zneužitím jeho oprávnění k přístupu k oznámením a získání potvrzovacího kódu potřebného k dokončení kroku.

Na znamení toho, že Fleckpe je aktivně vyvíjen, přesunuly poslední verze malwaru většinu škodlivých funkcí do nativní knihovny ve snaze vyhnout se detekci bezpečnostními nástroji.

“Payloaddd nyní pouze zachycuje oznámení a zobrazuje webové stránky, přičemž funguje jako most mezi nativním kódem a komponentami systému Android, které jsou nutné pro zakoupení předplatného,” poznamenal Kalinin.

“Na rozdíl od nativní knihovny nemá payload téměř žádné možnosti vyhýbání, ačkoli škodliví aktéři do nejnovější verze přidali určitou míru šifrování kódu.”

Není to poprvé, co byl v obchodě Google Play nalezen malware způsobující předplatné. Fleckpe se připojuje k dalším rodinám fleecewaru, jako jsou Joker (známý také jako Bread nebo Jocker) a Harly, které infikovaná zařízení předplácejí k nechtěným prémiovým službám a provádějí podvody s vyúčtováním.

Takové aplikace sice nejsou tak nebezpečné jako spyware nebo finanční trojské koně, ale i tak mohou způsobit neoprávněné poplatky a jejich provozovatelé je mohou využít ke sběru nejrůznějších citlivých informací a sloužit jako vstupní body pro další nekalý malware.

Pokud něco, pak jsou tato zjištění dalším důkazem toho, že aktéři hrozeb stále objevují nové způsoby, jak propašovat své aplikace na oficiální tržiště aplikací a rozšířit tak své kampaně, což vyžaduje, aby uživatelé byli při stahování aplikací a udělování oprávnění k nim obezřetní.

“Rostoucí složitost trojských koní jim umožnila úspěšně obejít mnoho kontrol proti škodlivému softwaru zavedených tržištěmi, a zůstat tak dlouho neodhaleni,” uvedl Kalinin.

Filip Blaha, redakce Cyberblog
Zdroj: The Hacker News
Foto: Bing
0 Comments
Submit a Comment
Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

S nástupem digitální transformace a rostoucí závislostí podniků na digitálních službách je zabezpečení aplikací a rozhraní API (Application Programming Interfaces) důležitější než kdy dříve. S ohledem na to jsou zabezpečení aplikací a API dvě zásadní součásti komplexní bezpečnostní strategie. Využitím těchto postupů se organizace mohou chránit před škodlivými útoky a bezpečnostními hrozbami a především zajistit, aby jejich data zůstala v bezpečí.

„AI přítelkyně” jsou noční můrou pro soukromí

„AI přítelkyně” jsou noční můrou pro soukromí

Romantičtí chatboti shromažďují obrovské množství dat, poskytují nejasné informace o tom, jak je používají, používají slabou ochranu heslem a nejsou transparentní, tvrdí nový výzkum společnosti Mozilla.

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

Pokud jde o zabezpečení přístupu, jedno doporučení vyniká nad ostatními: vícefaktorové ověřování (MFA). Vzhledem k tomu, že samotná hesla jsou pro hackery jednoduchou prací, poskytuje MFA zásadní vrstvu ochrany proti narušení. Je však důležité si uvědomit, že MFA není bezchybné. Lze ho obejít, a často se tak i děje.

Jak být anonymnější online

Jak být anonymnější online

Na internetu jste neustále monitorováni. Hlavním viníkem je často reklamní průmysl a technologické společnosti, které jsou na reklamě silně závislé, aby vydělaly peníze ( např. Google a Meta). Na webu vás mohou sledovat neviditelné trackery a cookies vložené do webových stránek a aplikací. Přečtěte si návod, jak se stát více anonymním na internetu.

Nejhorší hacky roku 2023

Nejhorší hacky roku 2023

Minulý rok byl plný ničivých kybernetických útoků po celém světě, od ransomwarových útoků na kasina až po státem sponzorované narušení kritické infrastruktury.