Вредоносное ПО Fleckpe Mobile прячется в приложениях для редактирования фотографий

Недавно обнаруженное вредоносное ПО под названием Fleckpe было обнаружено в магазине Google Play, и с 2022 года его скачали более 620 000 раз.

Исследователи безопасности обнаружили в магазине приложений 11 приложений, которые выглядели как законные приложения для редактирования фотографий, камеры и пакеты обоев для смартфонов, но на самом деле скрывали вредоносное ПО. Приложения были удалены из магазина. Вредоносное ПО в первую очередь нацелено на пользователей в Таиланде, но данные телеметрии показывают жертв в Польше, Малайзии, Индонезии и Сингапуре.

Приложения предоставляют обещанные функции, чтобы избежать подозрений, но содержат вредоносный дроппер, который запускает полезную нагрузку из ресурсов приложения. Полезная нагрузка связывается с удаленным сервером и отправляет информацию о скомпрометированном устройстве, включая мобильный код страны и код мобильной сети. Сервер отвечает платной страницей подписки, которую вредоносное ПО открывает в невидимом окне браузера и пытается подписаться от имени пользователя. В последних версиях вредоносного ПО большая часть вредоносных функций перенесена в собственную библиотеку, чтобы избежать обнаружения средствами безопасности.

Fleckpe — не первое вредоносное ПО по подписке, обнаруженное в магазине Google Play. Также были обнаружены другие семейства флисовых программ, такие как Joker и Harly, которые подписывали зараженные устройства на нежелательные услуги премиум-класса и занимались мошенничеством с выставлением счетов. Хотя вредоносное ПО, распространяемое по подписке, не так опасно, как шпионское ПО или финансовые трояны, оно все же может приводить к несанкционированным платежам и использоваться для сбора конфиденциальной информации или служить точками входа для более вредоносных вредоносных программ.

Эти результаты подчеркивают постоянное обнаружение злоумышленниками новых методов проникновения своих приложений на официальные рынки приложений, что требует от пользователей проявлять осторожность при загрузке приложений и предоставлении разрешений.

Какие методы злоумышленники могут использовать для сокрытия вредоносного ПО в приложениях для Android?

Злоумышленники могут использовать различные методы для сокрытия вредоносных программ в приложениях для Android, некоторые из которых включают:

• Обфускация: авторы вредоносных программ могут использовать методы обфускации, чтобы скрыть вредоносный код в приложении. Это может включать переименование функций, изменение имен переменных и использование шифрования для усложнения анализа кода.
• Социальная инженерия: авторы вредоносных программ могут использовать тактику социальной инженерии, чтобы заставить пользователей загружать и устанавливать вредоносные приложения. Это может включать создание поддельных приложений, которые кажутся законными, использование вводящих в заблуждение описаний или значков приложений или выдачу себя за законное приложение, чтобы завоевать доверие пользователей.
• Переупаковка: авторы вредоносных программ могут переупаковывать законные приложения с вредоносным кодом и распространять их через сторонние магазины приложений или по другим каналам. Это может затруднить обнаружение вредоносных программ пользователями, поскольку приложение выглядит законным.
• Использование уязвимостей приложений. Авторы вредоносных программ могут использовать уязвимости в законных приложениях для внедрения вредоносного кода или получения повышенных привилегий на устройстве. Это может позволить вредоносным программам избежать обнаружения и выполнять различные вредоносные действия.
• Использование руткитов. Авторы вредоносных программ могут использовать руткиты для сокрытия вредоносных программ на зараженном устройстве. Руткит — это тип вредоносного ПО, предназначенное для сокрытия себя от операционной системы и другого программного обеспечения, работающего на устройстве. Это может значительно затруднить обнаружение и удаление вредоносных программ.