Il malware mobile Fleckpe si nasconde nelle app di fotoritocco

Un malware appena scoperto chiamato Fleckpe è stato trovato su Google Play Store e ha accumulato oltre 620.000 download dal 2022.

I ricercatori di sicurezza hanno identificato 11 app sull'app store che sembravano app di fotoritocco, fotocamere e pacchetti di sfondi per smartphone legittimi, ma in realtà nascondevano il malware. Le app sono state rimosse dallo store. Il malware prende di mira principalmente gli utenti in Thailandia, ma i dati di telemetria mostrano vittime in Polonia, Malesia, Indonesia e Singapore.

Le app forniscono funzionalità promesse per evitare sospetti, ma contengono un contagocce dannoso che esegue un payload dalle risorse dell'app. Il payload contatta un server remoto e invia informazioni sul dispositivo compromesso, inclusi il Mobile Country Code e il Mobile Network Code. Il server risponde con una pagina di abbonamento a pagamento, che il malware apre in una finestra invisibile del browser e cerca di iscriversi per conto dell'utente. Le versioni recenti del malware hanno spostato la maggior parte delle funzionalità dannose nella libreria nativa per eludere il rilevamento da parte degli strumenti di sicurezza.

Fleckpe non è il primo malware in abbonamento che si trova sul Google Play Store. Sono state scoperte anche altre famiglie di fleeceware come Joker e Harly, che abbonano dispositivi infetti a servizi premium indesiderati e conducono frodi di fatturazione. Sebbene il malware in abbonamento non sia pericoloso come lo spyware o i trojan finanziari, può comunque comportare addebiti non autorizzati ed essere utilizzato per raccogliere informazioni sensibili o fungere da punto di ingresso per malware più dannosi.

Questi risultati evidenziano la continua scoperta di nuovi metodi da parte degli attori delle minacce per intrufolare le loro app nei mercati delle app ufficiali, richiedendo agli utenti di prestare attenzione durante il download delle app e la concessione delle autorizzazioni.

Quali sono alcuni dei metodi che gli attori delle minacce possono utilizzare per nascondere il malware nelle app Android?

Gli attori delle minacce possono utilizzare vari metodi per nascondere il malware nelle app Android, alcuni dei quali includono:

• Offuscamento: gli autori di malware possono utilizzare tecniche di offuscamento per nascondere il codice dannoso in un'app. Ciò può includere la ridenominazione delle funzioni, l'alterazione dei nomi delle variabili e l'utilizzo della crittografia per rendere il codice più difficile da analizzare.
• Ingegneria sociale: gli autori di malware possono utilizzare tattiche di ingegneria sociale per indurre gli utenti a scaricare e installare app dannose. Ciò può comportare la creazione di app false che sembrano legittime, l'utilizzo di descrizioni o icone delle app fuorvianti o la posa come app legittima per guadagnare la fiducia degli utenti.
• Riconfezionamento: gli autori di malware possono riconfezionare app legittime con codice dannoso e distribuirle tramite app store di terze parti o altri canali. Ciò può rendere più difficile per gli utenti rilevare il malware poiché l'app sembra essere legittima.
• Sfruttamento delle vulnerabilità delle app: gli autori di malware possono sfruttare le vulnerabilità nelle app legittime per inserire codice dannoso o ottenere privilegi elevati sul dispositivo. Ciò può consentire al malware di eludere il rilevamento ed eseguire una serie di azioni dannose.
• Utilizzo di rootkit: gli autori di malware possono utilizzare i rootkit per nascondere il malware su un dispositivo infetto. Un rootkit è un tipo di malware progettato per nascondersi dal sistema operativo e da altri software in esecuzione sul dispositivo. Ciò può rendere molto più difficile rilevare e rimuovere il malware.