Fleckpe Mobile Malware skjuler seg i bilderedigeringsapper

En nylig oppdaget skadelig programvare kalt Fleckpe har blitt funnet i Google Play Store og har samlet over 620 000 nedlastinger siden 2022.

Sikkerhetsforskere identifiserte 11 apper i appbutikken som så ut til å være legitime bilderedigeringsapper, kamera- og smarttelefonbakgrunnspakker, men som faktisk skjulte skadelig programvare. Appene er fjernet fra butikken. Skadevaren retter seg først og fremst mot brukere i Thailand, men telemetridata viser ofre i Polen, Malaysia, Indonesia og Singapore.

Appene gir lovet funksjonalitet for å unngå mistanke, men inneholder en ondsinnet dropper som kjører en nyttelast fra appens eiendeler. Nyttelasten kontakter en ekstern server og sender informasjon om den kompromitterte enheten, inkludert mobillandskoden og mobilnettverkskoden. Serveren svarer med en betalt abonnementsside, som skadelig programvare åpner i et usynlig nettleservindu og prøver å abonnere på brukerens vegne. Nyere versjoner av skadelig programvare har flyttet det meste av den skadelige funksjonaliteten til det opprinnelige biblioteket for å unngå oppdagelse av sikkerhetsverktøy.

Fleckpe er ikke den første abonnementsskadelige programvaren som finnes i Google Play Store. Andre fleeceware-familier som Joker og Harly har også blitt oppdaget, som abonnerer på infiserte enheter på uønskede premiumtjenester og driver med faktureringssvindel. Selv om abonnementsskadelig programvare ikke er like farlig som spionprogramvare eller finansielle trojanere, kan det fortsatt føre til uautoriserte belastninger og brukes til å samle inn sensitiv informasjon eller tjene som inngangspunkter for mer skadelig skadelig programvare.

Disse funnene fremhever den fortsatte oppdagelsen av nye metoder av trusselaktører for å snike appene sine inn på offisielle appmarkedsplasser, noe som krever at brukere utviser forsiktighet når de laster ned apper og gir tillatelser.

Hva er noen av metodene trusselaktører kan bruke for å skjule skadelig programvare i Android-apper?

Trusselaktører kan bruke ulike metoder for å skjule skadelig programvare i Android-apper, hvorav noen inkluderer:

• Tilsløring: Forfattere av skadelig programvare kan bruke sløringsteknikker for å skjule den ondsinnede koden i en app. Dette kan inkludere å gi nytt navn til funksjoner, endre variabelnavn og bruke kryptering for å gjøre koden vanskeligere å analysere.
• Sosial teknikk: Forfattere av skadelig programvare kan bruke sosial ingeniør-taktikk for å lure brukere til å laste ned og installere skadelige apper. Dette kan innebære å lage falske apper som ser ut til å være legitime, bruke villedende appbeskrivelser eller ikoner, eller utgi seg for å være en legitim app for å få brukertillit.
• Ompakking: Skadevareforfattere kan pakke om legitime apper med ondsinnet kode og distribuere dem gjennom tredjeparts appbutikker eller andre kanaler. Dette kan gjøre det vanskeligere for brukere å oppdage skadelig programvare siden appen ser ut til å være legitim.
• Utnyttelse av appsårbarheter: Skadevareforfattere kan utnytte sårbarheter i legitime apper for å injisere ondsinnet kode eller få økte rettigheter på enheten. Dette kan tillate skadelig programvare å unngå oppdagelse og utføre en rekke ondsinnede handlinger.
• Bruke rootkits: Forfattere av skadelig programvare kan bruke rootkits for å skjule skadelig programvare på en infisert enhet. Et rootkit er en type skadelig programvare som er laget for å skjule seg fra operativsystemet og annen programvare som kjører på enheten. Dette kan gjøre det mye vanskeligere å oppdage og fjerne skadelig programvare.