Fleckpe Mobile Malware verstopt zich in fotobewerkings-apps

Een nieuw ontdekte malware genaamd Fleckpe is gevonden in de Google Play Store en heeft sinds 2022 meer dan 620.000 downloads verzameld.

Beveiligingsonderzoekers identificeerden 11 apps in de app store die legitieme fotobewerkings-apps, camera- en smartphone-wallpaperpakketten leken te zijn, maar in feite de malware verborgen. De apps zijn uit de store verwijderd. De malware richt zich voornamelijk op gebruikers in Thailand, maar telemetriegegevens tonen slachtoffers in Polen, Maleisië, Indonesië en Singapore.

De apps bieden beloofde functionaliteit om verdenking te voorkomen, maar bevatten een kwaadaardige dropper die een payload uitvoert vanuit de app-activa. De payload maakt contact met een externe server en verzendt informatie over het gecompromitteerde apparaat, inclusief de Mobile Country Code en Mobile Network Code. De server reageert met een betaalde abonnementspagina, die de malware opent in een onzichtbaar browservenster en zich namens de gebruiker probeert te abonneren. Recente versies van de malware hebben de meeste kwaadaardige functionaliteit naar de eigen bibliotheek verplaatst om detectie door beveiligingstools te omzeilen.

Fleckpe is niet de eerste abonnements-malware die in de Google Play Store wordt gevonden. Andere fleeceware-families zoals Joker en Harly zijn ook ontdekt, die geïnfecteerde apparaten abonneren op ongewenste premiumdiensten en factureringsfraude plegen. Hoewel abonnementsmalware niet zo gevaarlijk is als spyware of financiële trojans, kan het toch leiden tot ongeoorloofde afschrijvingen en worden gebruikt om gevoelige informatie te verzamelen of als ingangspunt te dienen voor meer kwaadaardige malware.

Deze bevindingen benadrukken de voortdurende ontdekking van nieuwe methoden door bedreigingsactoren om hun apps naar officiële app-marktplaatsen te sluipen, waardoor gebruikers voorzichtig moeten zijn bij het downloaden van apps en het verlenen van toestemmingen.

Wat zijn enkele van de methoden die bedreigingsactoren kunnen gebruiken om malware in Android-apps te verbergen?

Bedreigers kunnen verschillende methoden gebruiken om malware in Android-apps te verbergen, waaronder:

• Verduistering: auteurs van malware kunnen verduisteringstechnieken gebruiken om de schadelijke code in een app te verbergen. Dit kan bestaan uit het hernoemen van functies, het wijzigen van namen van variabelen en het gebruik van codering om de code moeilijker te analyseren te maken.
• Social engineering: Malware-auteurs kunnen social engineering-tactieken gebruiken om gebruikers te misleiden om schadelijke apps te downloaden en te installeren. Dit kan inhouden dat er nep-apps worden gemaakt die legitiem lijken, dat er misleidende app-beschrijvingen of pictogrammen worden gebruikt of dat zich voordoet als een legitieme app om het vertrouwen van de gebruiker te winnen.
• Herverpakken: auteurs van malware kunnen legitieme apps herverpakken met schadelijke code en deze verspreiden via app-winkels van derden of andere kanalen. Dit kan het voor gebruikers moeilijker maken om de malware te detecteren, aangezien de app legitiem lijkt.
• App-kwetsbaarheden uitbuiten: Malware-auteurs kunnen kwetsbaarheden in legitieme apps misbruiken om kwaadaardige code te injecteren of verhoogde rechten op het apparaat te verkrijgen. Hierdoor kan de malware detectie omzeilen en verschillende kwaadaardige acties uitvoeren.
• Rootkits gebruiken: auteurs van malware kunnen rootkits gebruiken om malware op een geïnfecteerd apparaat te verbergen. Een rootkit is een type malware dat is ontworpen om zichzelf te verbergen voor het besturingssysteem en andere software die op het apparaat wordt uitgevoerd. Dit kan het veel moeilijker maken om de malware te detecteren en te verwijderen.