Fleckpe nieświadomie subskrybuje płatne usługi przez ponad 620 2022 użytkowników na całym świecie. Badacze z Kaspersky wykryli nową rodzinę trojanów atakujących użytkowników Google Play. Nazywany Fleckpe, zgodnie z modelem przychodów opartym na subskrypcji, trojan ten rozprzestrzenia się za pośrednictwem aplikacji mobilnych podszywających się pod edytory zdjęć i programy do pobierania tapet, subskrybując płatne usługi bez ich wiedzy. Od czasu wykrycia w 620 r. Fleckpe zainfekował ponad XNUMX XNUMX urządzeń i uwięził ofiary na całym świecie.
Pomimo wszystkich podjętych środków ostrożności, od czasu do czasu do sklepu Google Play mogą zostać przesłane złośliwe aplikacje. Najbardziej irytujące z nich to konie trojańskie oparte na subskrypcji grupowej. Te trojany subskrybują swoje ofiary bez uprzedzenia za usługi, o których zakupie nigdy by nie pomyślały, a ofiary oszustw nie zdają sobie z tego sprawy, dopóki opłata za subskrypcję nie zostanie odzwierciedlona w ich rachunkach. Ten rodzaj złośliwego oprogramowania często znajduje się na oficjalnym rynku aplikacji na Androida. Dwa niedawno odkryte przykłady to rodzina Jockerów i rodzina Harly.
Najnowszym odkryciem firmy Kaspersky w tej dziedzinie jest nowa rodzina koni trojańskich o nazwie Fleckpe, która rozprzestrzenia się za pośrednictwem Google Play, imitując edytory zdjęć, pakiety tapet i inne aplikacje. Trojan ten, podobnie jak wiele innych, subskrybuje nieświadomych użytkowników płatne usługi.
Z danych firmy Kaspersky wynika, że nowo wykryty trojan jest aktywny od 2022 roku. Badacze z firmy Kaspersky wykryli, że Fleckpe został zainstalowany na ponad 11 620 urządzeń za pośrednictwem co najmniej XNUMX różnych aplikacji. Mimo że aplikacje zostały usunięte z rynku w momencie opublikowania raportu firmy Kaspersky, możliwe jest, że cyberprzestępcy będą nadal rozpowszechniać to szkodliwe oprogramowanie z innych źródeł. Oznacza to, że rzeczywista liczba pobrań może być wyższa.
Przykład aplikacji zainfekowanej trojanem w Google Play:
Zainfekowana aplikacja Fleckpe rozpoczyna się od umieszczenia na urządzeniu wysoce zamaskowanej biblioteki natywnej, która zawiera złośliwe programy typu dropper odpowiedzialne za odszyfrowywanie i uruchamianie złośliwych ładunków. Ładunek ten kontaktuje się z serwerem dowodzenia atakujących i przesyła informacje o zainfekowanym urządzeniu, w tym dane kraju i operatora. Następnie strona płatnej subskrypcji jest udostępniana urządzeniu. Trojan potajemnie rozpoczyna sesję przeglądarki internetowej i próbuje zasubskrybować płatną usługę w imieniu użytkownika. Jeśli subskrypcja wymaga kodu potwierdzającego, oprogramowanie uzyskuje również dostęp do powiadomień urządzenia i przechwytuje wysłany kod potwierdzający. W ten sposób trojan powoduje, że użytkownicy tracą pieniądze, subskrybując płatną usługę wbrew ich woli. Co ciekawe, nie wpływa to na funkcjonalność aplikacji, a użytkownicy mogą dalej edytować zdjęcia czy ustawiać tapety w tle, nie zdając sobie sprawy, że są obciążani opłatą za usługę.
Badacz ds. bezpieczeństwa z Kaspersky, Dmitrij Kalinin, powiedział:
„Ostatnio wśród oszustów popularność zyskują trojany subskrypcyjne. Wykorzystujący je cyberprzestępcy coraz częściej korzystają z oficjalnych rynków, takich jak Google Play, w celu rozprzestrzeniania złośliwego oprogramowania. Rosnące wyrafinowanie trojanów pozwala im z powodzeniem obchodzić różne zabezpieczenia przed złośliwym oprogramowaniem narzucane przez platformy handlowe i pozostawać niewykrytymi przez długi czas. Użytkownicy dotknięci tym oprogramowaniem nie są w stanie dowiedzieć się, w jaki sposób subskrybowali dane usługi, ani nie mogą od razu wykryć niechcianych subskrypcji. Wszystko to sprawia, że trojany subskrypcyjne są w oczach cyberprzestępców niezawodnym źródłem nielegalnego dochodu”.
Eksperci z firmy Kaspersky zalecają użytkownikom unikanie infekcji złośliwym oprogramowaniem opartym na subskrypcji:
„Uważaj na aplikacje, w tym te z legalnych rynków, takich jak Google Play, i kontroluj, jakie uprawnienia przyznajesz zainstalowanym aplikacjom. Niektóre z nich mogą stanowić zagrożenie dla bezpieczeństwa.
Zainstaluj na telefonie oprogramowanie antywirusowe, które może wykrywać takie trojany, takie jak Kaspersky Premium.
Nie instaluj aplikacji ze źródeł zewnętrznych lub pirackich witryn. Należy pamiętać, że osoby atakujące są świadome zamiłowania ludzi do darmowych rzeczy i będą starały się wykorzystać tę sytuację w każdy możliwy sposób.
Jeśli na Twoim telefonie zostanie wykryte złośliwe oprogramowanie oparte na subskrypcji, natychmiast usuń zainfekowaną aplikację z urządzenia lub wyłącz ją, jeśli jest preinstalowana”.