Fleckpe Mobile Malware se esconde en las aplicaciones de edición de fotos

Un malware recientemente descubierto llamado Fleckpe se encontró en Google Play Store y ha acumulado más de 620,000 descargas desde 2022.

Los investigadores de seguridad identificaron 11 aplicaciones en la tienda de aplicaciones que parecían ser aplicaciones legítimas de edición de fotos, cámaras y paquetes de fondos de pantalla para teléfonos inteligentes, pero en realidad ocultaban el malware. Las aplicaciones han sido eliminadas de la tienda. El malware se dirige principalmente a usuarios en Tailandia, pero los datos de telemetría muestran víctimas en Polonia, Malasia, Indonesia y Singapur.

Las aplicaciones brindan la funcionalidad prometida para evitar sospechas, pero contienen un cuentagotas malicioso que ejecuta una carga útil desde los activos de la aplicación. La carga útil se pone en contacto con un servidor remoto y envía información sobre el dispositivo comprometido, incluido el código de país móvil y el código de red móvil. El servidor responde con una página de suscripción paga, que el malware abre en una ventana invisible del navegador e intenta suscribirse en nombre del usuario. Las versiones recientes del malware han trasladado la mayor parte de la funcionalidad maliciosa a la biblioteca nativa para evadir la detección por parte de las herramientas de seguridad.

Fleckpe no es el primer malware de suscripción que se encuentra en Google Play Store. También se han descubierto otras familias de fleeceware como Joker y Harly, que suscriben dispositivos infectados a servicios premium no deseados y realizan fraudes de facturación. Si bien el malware de suscripción no es tan peligroso como el spyware o los troyanos financieros, aún puede generar cargos no autorizados y usarse para recopilar información confidencial o servir como puntos de entrada para más malware malicioso.

Estos hallazgos resaltan el continuo descubrimiento de nuevos métodos por parte de los actores de amenazas para infiltrar sus aplicaciones en los mercados de aplicaciones oficiales, lo que requiere que los usuarios tengan cuidado al descargar aplicaciones y otorgar permisos.

¿Cuáles son algunos de los métodos que los actores de amenazas pueden usar para ocultar el malware en las aplicaciones de Android?

Los actores de amenazas pueden usar varios métodos para ocultar el malware en las aplicaciones de Android, algunos de los cuales incluyen:

• Ofuscación: los autores de malware pueden usar técnicas de ofuscación para ocultar el código malicioso en una aplicación. Esto puede incluir funciones de cambio de nombre, alteración de nombres de variables y uso de encriptación para hacer que el código sea más difícil de analizar.
• Ingeniería social: los autores de malware pueden usar tácticas de ingeniería social para engañar a los usuarios para que descarguen e instalen aplicaciones maliciosas. Esto puede implicar la creación de aplicaciones falsas que parezcan legítimas, el uso de descripciones o iconos de aplicaciones engañosas, o hacerse pasar por una aplicación legítima para ganarse la confianza del usuario.
• Reempaquetado: los autores de malware pueden reempaquetar aplicaciones legítimas con código malicioso y distribuirlas a través de tiendas de aplicaciones de terceros u otros canales. Esto puede dificultar que los usuarios detecten el malware, ya que la aplicación parece ser legítima.
• Explotación de vulnerabilidades de aplicaciones: los autores de malware pueden explotar vulnerabilidades en aplicaciones legítimas para inyectar código malicioso u obtener privilegios elevados en el dispositivo. Esto puede permitir que el malware evada la detección y realice una variedad de acciones maliciosas.
• Uso de rootkits: los autores de malware pueden usar rootkits para ocultar malware en un dispositivo infectado. Un rootkit es un tipo de malware que está diseñado para ocultarse del sistema operativo y otro software que se ejecuta en el dispositivo. Esto puede hacer que sea mucho más difícil detectar y eliminar el malware.