Mobilne złośliwe oprogramowanie Fleckpe ukrywa się w aplikacjach do edycji zdjęć

Nowo odkryte złośliwe oprogramowanie o nazwie Fleckpe zostało znalezione w sklepie Google Play i zgromadziło ponad 620 000 pobrań od 2022 roku.

Badacze bezpieczeństwa zidentyfikowali w sklepie z aplikacjami 11 aplikacji, które wyglądały na legalne aplikacje do edycji zdjęć, aparaty i pakiety tapet na smartfony, ale w rzeczywistości ukrywały złośliwe oprogramowanie. Aplikacje zostały usunięte ze sklepu. Szkodliwe oprogramowanie atakuje głównie użytkowników w Tajlandii, ale dane telemetryczne pokazują ofiary w Polsce, Malezji, Indonezji i Singapurze.

Aplikacje zapewniają obiecaną funkcjonalność, aby uniknąć podejrzeń, ale zawierają złośliwy dropper, który uruchamia ładunek z zasobów aplikacji. Ładunek kontaktuje się ze zdalnym serwerem i wysyła informacje o zaatakowanym urządzeniu, w tym mobilny kod kraju i kod sieci komórkowej. Serwer odpowiada stroną z płatną subskrypcją, którą złośliwe oprogramowanie otwiera w niewidocznym oknie przeglądarki i próbuje dokonać subskrypcji w imieniu użytkownika. Najnowsze wersje złośliwego oprogramowania przeniosły większość złośliwych funkcji do natywnej biblioteki, aby uniknąć wykrycia przez narzędzia bezpieczeństwa.

Fleckpe nie jest pierwszym szkodliwym oprogramowaniem subskrypcyjnym znalezionym w sklepie Google Play. Odkryto również inne rodziny oprogramowania polarowego, takie jak Joker i Harly, które subskrybują zainfekowane urządzenia w niechcianych usługach premium i przeprowadzają oszustwa rozliczeniowe. Chociaż złośliwe oprogramowanie subskrypcyjne nie jest tak niebezpieczne jak oprogramowanie szpiegowskie lub trojany finansowe, może nadal powodować nieautoryzowane opłaty i być wykorzystywane do zbierania poufnych informacji lub służyć jako punkty wejścia dla bardziej złośliwego oprogramowania.

Odkrycia te wskazują na ciągłe odkrywanie przez cyberprzestępców nowych metod przemycania swoich aplikacji na oficjalne rynki aplikacji, co wymaga od użytkowników zachowania ostrożności podczas pobierania aplikacji i przyznawania uprawnień.

Jakie są niektóre metody, których aktorzy mogą używać do ukrywania złośliwego oprogramowania w aplikacjach na Androida?

Aktorzy zagrażający mogą wykorzystywać różne metody ukrywania złośliwego oprogramowania w aplikacjach na Androida, z których niektóre obejmują:

• Zaciemnianie: autorzy złośliwego oprogramowania mogą używać technik zaciemniania, aby ukryć złośliwy kod w aplikacji. Może to obejmować zmianę nazw funkcji, zmianę nazw zmiennych i użycie szyfrowania w celu utrudnienia analizy kodu.
• Inżynieria społeczna: Autorzy złośliwego oprogramowania mogą wykorzystywać taktyki inżynierii społecznej, aby nakłonić użytkowników do pobrania i zainstalowania złośliwych aplikacji. Może to obejmować tworzenie fałszywych aplikacji, które wydają się legalne, używanie wprowadzających w błąd opisów lub ikon aplikacji lub podszywanie się pod legalną aplikację w celu zdobycia zaufania użytkowników.
• Przepakowywanie: autorzy złośliwego oprogramowania mogą przepakowywać legalne aplikacje ze złośliwym kodem i rozpowszechniać je za pośrednictwem zewnętrznych sklepów z aplikacjami lub innymi kanałami. Może to utrudnić użytkownikom wykrycie złośliwego oprogramowania, ponieważ aplikacja wydaje się być legalna.
• Wykorzystywanie luk w zabezpieczeniach aplikacji: Autorzy złośliwego oprogramowania mogą wykorzystywać luki w legalnych aplikacjach do wstrzykiwania złośliwego kodu lub uzyskiwania podwyższonych uprawnień na urządzeniu. Może to pozwolić złośliwemu oprogramowaniu na uniknięcie wykrycia i wykonanie różnych złośliwych działań.
• Używanie rootkitów: Autorzy złośliwego oprogramowania mogą używać rootkitów do ukrywania złośliwego oprogramowania na zainfekowanym urządzeniu. Rootkit to rodzaj złośliwego oprogramowania, którego celem jest ukrywanie się przed systemem operacyjnym i innym oprogramowaniem działającym na urządzeniu. Może to znacznie utrudnić wykrycie i usunięcie złośliwego oprogramowania.