Fleckpe Mobile Malware gemmer sig i fotoredigeringsapps

En nyopdaget malware kaldet Fleckpe er blevet fundet i Google Play Butik og har akkumuleret over 620.000 downloads siden 2022.

Sikkerhedsforskere identificerede 11 apps i app-butikken, der så ud til at være legitime fotoredigeringsapps, kamera- og smartphone-tapetpakker, men som faktisk skjulte malwaren. Apps er blevet fjernet fra butikken. Malwaren retter sig primært mod brugere i Thailand, men telemetridata viser ofre i Polen, Malaysia, Indonesien og Singapore.

Apps giver lovet funktionalitet for at undgå mistanke, men indeholder en ondsindet dropper, der kører en nyttelast fra app-aktiverne. Nyttelasten kontakter en fjernserver og sender information om den kompromitterede enhed, inklusive mobillandskoden og mobilnetværkskoden. Serveren svarer med en betalt abonnementsside, som malwaren åbner i et usynligt browservindue og forsøger at abonnere på brugerens vegne. Nylige versioner af malwaren har flyttet det meste af den ondsindede funktionalitet til det oprindelige bibliotek for at undgå opdagelse af sikkerhedsværktøjer.

Fleckpe er ikke den første abonnements-malware, der findes i Google Play Butik. Andre fleeceware-familier som Joker og Harly er også blevet opdaget, der abonnerer på inficerede enheder på uønskede premium-tjenester og udfører faktureringssvig. Selvom abonnements-malware ikke er så farligt som spyware eller finansielle trojanske heste, kan det stadig resultere i uautoriserede debiteringer og bruges til at indsamle følsomme oplysninger eller tjene som indgangspunkter for mere ondsindet malware.

Disse resultater fremhæver trusselsaktørers fortsatte opdagelse af nye metoder til at snige deres apps ind på officielle appmarkedspladser, hvilket kræver, at brugere udviser forsigtighed, når de downloader apps og giver tilladelser.

Hvad er nogle af metoderne, som trusselsaktører kan bruge til at skjule malware i Android-apps?

Trusselaktører kan bruge forskellige metoder til at skjule malware i Android-apps, hvoraf nogle inkluderer:

• Tilsløring: Malwareforfattere kan bruge sløringsteknikker til at skjule den ondsindede kode i en app. Dette kan omfatte omdøbning af funktioner, ændring af variabelnavne og brug af kryptering for at gøre koden sværere at analysere.
• Social Engineering: Malware-forfattere kan bruge social engineering-taktik til at narre brugere til at downloade og installere ondsindede apps. Dette kan involvere at skabe falske apps, der ser ud til at være legitime, ved at bruge vildledende appbeskrivelser eller ikoner, eller at udgive sig for at være en legitim app for at vinde brugertillid.
• Ompakning: Malwareforfattere kan ompakke legitime apps med ondsindet kode og distribuere dem gennem tredjeparts appbutikker eller andre kanaler. Dette kan gøre det sværere for brugere at opdage malwaren, da appen ser ud til at være legitim.
• Udnyttelse af app-sårbarheder: Malware-forfattere kan udnytte sårbarheder i legitime apps til at injicere ondsindet kode eller opnå forhøjede rettigheder på enheden. Dette kan tillade malware at unddrage sig opdagelse og udføre en række ondsindede handlinger.
• Brug af rootkits: Malwareforfattere kan bruge rootkits til at skjule malware på en inficeret enhed. Et rootkit er en type malware, der er designet til at skjule sig fra operativsystemet og anden software, der kører på enheden. Dette kan gøre det meget sværere at opdage og fjerne malwaren.