A Fleckpe Mobile rosszindulatú program elrejti a fotószerkesztő alkalmazásokban
Egy újonnan felfedezett, Fleckpe nevű rosszindulatú programot találtak a Google Play Áruházban, és 2022 óta több mint 620 000 letöltés halmozódott fel.
A biztonsági kutatók 11 olyan alkalmazást azonosítottak az alkalmazásboltban, amelyek törvényes képszerkesztő alkalmazásoknak, fényképezőgép- és okostelefon-háttérképcsomagoknak tűntek, de valójában elrejtették a kártevőt. Az alkalmazásokat eltávolították az áruházból. A kártevő elsősorban a thaiföldi felhasználókat célozza meg, de a telemetriai adatok Lengyelországban, Malajziában, Indonéziában és Szingapúrban mutatnak áldozatokat.
Az alkalmazások ígért funkciókat kínálnak a gyanú elkerülése érdekében, de tartalmaznak egy rosszindulatú cseppentőt, amely az alkalmazás eszközeiből hasznos terhet futtat. A rakomány kapcsolatba lép egy távoli szerverrel, és információkat küld a feltört eszközről, beleértve a mobil országkódot és a mobilhálózati kódot. A szerver egy fizetett előfizetési oldallal válaszol, amelyet a kártevő egy láthatatlan böngészőablakban nyit meg, és megpróbál előfizetni a felhasználó nevében. A rosszindulatú program legújabb verziói a rosszindulatú funkciók nagy részét a natív könyvtárba helyezték át, hogy elkerüljék a biztonsági eszközök általi észlelést.
A Fleckpe nem az első előfizetéses kártevő, amely megtalálható a Google Play Áruházban. Más fleeceware családokat is felfedeztek, mint például a Joker és a Harly, amelyek fertőzött eszközöket nem kívánt prémium szolgáltatásokra fizetnek elő, és számlázási csalásokat hajtanak végre. Noha az előfizetéses rosszindulatú programok nem olyan veszélyesek, mint a kémprogramok vagy a pénzügyi trójaiak, továbbra is jogosulatlan költségeket vonhatnak maguk után, és érzékeny információk begyűjtésére vagy rosszindulatú programok belépési pontjaiként szolgálhatnak.
Ezek az eredmények rávilágítanak arra, hogy a fenyegetés szereplői folyamatosan új módszereket fedeznek fel, amelyek segítségével alkalmazásaikat a hivatalos alkalmazáspiacokra csempészhetik, ami megköveteli a felhasználóktól, hogy legyenek óvatosak az alkalmazások letöltése és az engedélyek megadása során.
Milyen módszereket használhatnak a fenyegető szereplők a rosszindulatú programok elrejtésére az Android alkalmazásokban?
A fenyegetés szereplői különféle módszereket használhatnak a rosszindulatú programok elrejtésére az Android-alkalmazásokban, amelyek közül néhány:
- Elrejtése: A rosszindulatú programok szerzői elrejthetik a rosszindulatú kódot egy alkalmazásban. Ez magában foglalhatja a függvények átnevezését, a változónevek megváltoztatását és a titkosítás használatát, amely megnehezíti a kód elemzését.
- Social Engineering: A rosszindulatú programok szerzői social engineering taktikákat alkalmazhatnak, hogy rávegyék a felhasználókat rosszindulatú alkalmazások letöltésére és telepítésére. Ez magában foglalhatja jogosnak tűnő hamis alkalmazások létrehozását, félrevezető alkalmazásleírások vagy ikonok használatát, vagy legitim alkalmazásnak való kijelentést a felhasználói bizalom elnyerése érdekében.
- Újracsomagolás: A rosszindulatú programok szerzői a legális alkalmazásokat rosszindulatú kóddal újracsomagolhatják, és harmadik féltől származó alkalmazásboltokon vagy más csatornákon keresztül terjeszthetik. Ez megnehezítheti a felhasználók számára a rosszindulatú program észlelését, mivel az alkalmazás legitimnek tűnik.
- Alkalmazások sebezhetőségeinek kihasználása: A rosszindulatú programok szerzői kihasználhatják a legális alkalmazások sebezhetőségeit, hogy rosszindulatú kódot fecskendezzenek be, vagy magasabb jogosultságokat szerezzenek az eszközön. Ez lehetővé teszi a rosszindulatú programok számára, hogy elkerüljék az észlelést, és különféle rosszindulatú műveleteket hajtsanak végre.
- Rootkitek használata: A rosszindulatú programok szerzői rootkitekkel elrejthetik a rosszindulatú programokat a fertőzött eszközön. A rootkit egy olyan rosszindulatú program, amelynek célja, hogy elrejtse magát az operációs rendszer és az eszközön futó egyéb szoftverek elől. Ez sokkal nehezebbé teheti a rosszindulatú program észlelését és eltávolítását.