Fleckpe Mobile Malware gömmer sig i fotoredigeringsappar

En nyupptäckt skadlig programvara som heter Fleckpe har hittats i Google Play Butik och har samlat på sig över 620 000 nedladdningar sedan 2022.

Säkerhetsforskare identifierade 11 appar i appbutiken som verkade vara legitima fotoredigeringsappar, kamera- och smartphonebakgrundspaket men som faktiskt gömde skadlig programvara. Apparna har tagits bort från butiken. Skadlig programvara riktar sig främst till användare i Thailand, men telemetridata visar offer i Polen, Malaysia, Indonesien och Singapore.

Apparna tillhandahåller utlovad funktionalitet för att undvika misstankar men innehåller en skadlig dropper som kör en nyttolast från apptillgångarna. Nyttolasten kontaktar en fjärrserver och skickar information om den komprometterade enheten, inklusive mobillandskoden och mobilnätverkskoden. Servern svarar med en betald prenumerationssida, som skadlig programvara öppnar i ett osynligt webbläsarfönster och försöker prenumerera på användarens vägnar. Nya versioner av skadlig programvara har flyttat det mesta av den skadliga funktionaliteten till det inhemska biblioteket för att undvika upptäckt av säkerhetsverktyg.

Fleckpe är inte den första prenumerationsskadliga programvaran som finns i Google Play Butik. Andra fleecewarefamiljer som Joker och Harly har också upptäckts, prenumererar på infekterade enheter på oönskade premiumtjänster och bedriver faktureringsbedrägeri. Även om skadlig programvara för prenumerationer inte är lika farlig som spionprogram eller finansiella trojaner, kan den fortfarande leda till obehöriga avgifter och användas för att samla in känslig information eller fungera som ingångspunkter för mer skadlig skadlig programvara.

Dessa fynd lyfter fram den fortsatta upptäckten av nya metoder av hotaktörer för att smyga in sina appar till officiella appmarknadsplatser, vilket kräver att användarna iakttar försiktighet när de laddar ner appar och beviljar behörigheter.

Vilka är några av metoderna som hotaktörer kan använda för att dölja skadlig programvara i Android-appar?

Hotaktörer kan använda olika metoder för att dölja skadlig programvara i Android-appar, av vilka några inkluderar:

• Obfuskation: Författare av skadlig programvara kan använda obfuskeringstekniker för att dölja den skadliga koden i en app. Detta kan inkludera att byta namn på funktioner, ändra variabelnamn och använda kryptering för att göra koden svårare att analysera.
• Social Engineering: Författare av skadlig programvara kan använda social ingenjörsteknik för att lura användare att ladda ner och installera skadliga appar. Det kan handla om att skapa falska appar som verkar vara legitima, använda vilseledande appbeskrivningar eller ikoner, eller att posera som en legitim app för att vinna användarnas förtroende.
• Ompaketering: Författare av skadlig programvara kan paketera om legitima appar med skadlig kod och distribuera dem via tredjepartsappbutiker eller andra kanaler. Detta kan göra det svårare för användare att upptäcka skadlig programvara eftersom appen verkar vara legitim.
• Utnyttja appsårbarheter: Författare av skadlig programvara kan utnyttja sårbarheter i legitima appar för att injicera skadlig kod eller få förhöjda privilegier på enheten. Detta kan tillåta skadlig programvara att undvika upptäckt och utföra en mängd olika skadliga åtgärder.
• Använda rootkits: Författare av skadlig programvara kan använda rootkits för att dölja skadlig programvara på en infekterad enhet. Ett rootkit är en typ av skadlig programvara som är utformad för att dölja sig från operativsystemet och annan programvara som körs på enheten. Detta kan göra det mycket svårare att upptäcka och ta bort skadlig programvara.