Fleckpe Mobile Malware versteckt sich in Fotobearbeitungs-Apps

Eine neu entdeckte Malware namens Fleckpe wurde im Google Play Store gefunden und hat seit 2022 über 620.000 Downloads angesammelt.

Sicherheitsforscher identifizierten 11 Apps im App Store, die anscheinend legitime Fotobearbeitungs-Apps, Kamera- und Smartphone-Hintergrundpakete waren, aber tatsächlich die Malware versteckten. Die Apps wurden aus dem Store entfernt. Die Malware zielt hauptsächlich auf Benutzer in Thailand ab, aber Telemetriedaten zeigen Opfer in Polen, Malaysia, Indonesien und Singapur.

Die Apps bieten versprochene Funktionen, um Verdacht zu vermeiden, enthalten jedoch einen böswilligen Dropper, der eine Nutzlast aus den App-Assets ausführt. Die Payload kontaktiert einen Remote-Server und sendet Informationen über das kompromittierte Gerät, einschließlich des Mobile Country Code und des Mobile Network Code. Der Server antwortet mit einer kostenpflichtigen Abonnementseite, die die Malware in einem unsichtbaren Browserfenster öffnet und versucht, im Namen des Benutzers zu abonnieren. Neuere Versionen der Malware haben die meisten schädlichen Funktionen in die native Bibliothek verschoben, um der Erkennung durch Sicherheitstools zu entgehen.

Fleckpe ist nicht die erste Abonnement-Malware, die im Google Play Store gefunden wird. Es wurden auch andere Fleeceware-Familien wie Joker und Harly entdeckt, die infizierte Geräte für unerwünschte Premium-Dienste abonnieren und Abrechnungsbetrug betreiben. Abonnement-Malware ist zwar nicht so gefährlich wie Spyware oder Finanztrojaner, kann aber dennoch zu nicht autorisierten Gebühren führen und dazu verwendet werden, vertrauliche Informationen zu sammeln oder als Einstiegspunkt für bösartigere Malware zu dienen.

Diese Ergebnisse unterstreichen die kontinuierliche Entdeckung neuer Methoden durch Bedrohungsakteure, um ihre Apps auf offizielle App-Marktplätze zu schleichen, was Benutzer dazu auffordert, beim Herunterladen von Apps und beim Erteilen von Berechtigungen Vorsicht walten zu lassen.

Welche Methoden können Angreifer verwenden, um Malware in Android-Apps zu verbergen?

Bedrohungsakteure können verschiedene Methoden verwenden, um Malware in Android-Apps zu verbergen, darunter einige:

• Verschleierung: Malware-Autoren können Verschleierungstechniken verwenden, um den bösartigen Code in einer App zu verbergen. Dies kann das Umbenennen von Funktionen, das Ändern von Variablennamen und die Verwendung von Verschlüsselung umfassen, um die Analyse des Codes zu erschweren.
• Social Engineering: Malware-Autoren können Social-Engineering-Taktiken verwenden, um Benutzer dazu zu verleiten, bösartige Apps herunterzuladen und zu installieren. Dies kann das Erstellen gefälschter Apps umfassen, die legitim erscheinen, irreführende App-Beschreibungen oder Symbole verwenden oder sich als legitime App ausgeben, um das Vertrauen der Benutzer zu gewinnen.
• Umpacken: Malware-Autoren können legitime Apps mit bösartigem Code umpacken und sie über App-Stores von Drittanbietern oder andere Kanäle verteilen. Dies kann es für Benutzer schwieriger machen, die Malware zu erkennen, da die App legitim zu sein scheint.
• Ausnutzen von App-Schwachstellen: Malware-Autoren können Schwachstellen in legitimen Apps ausnutzen, um bösartigen Code einzuschleusen oder erhöhte Berechtigungen auf dem Gerät zu erlangen. Dadurch kann sich die Malware der Erkennung entziehen und eine Vielzahl böswilliger Aktionen ausführen.
• Verwendung von Rootkits: Malware-Autoren können Rootkits verwenden, um Malware auf einem infizierten Gerät zu verbergen. Ein Rootkit ist eine Art Malware, die entwickelt wurde, um sich vor dem Betriebssystem und anderer auf dem Gerät ausgeführter Software zu verbergen. Dies kann es viel schwieriger machen, die Malware zu erkennen und zu entfernen.