Fleckpe 移动恶意软件隐藏在照片编辑应用程序中

在 Google Play 商店中发现了一种新发现的名为 Fleckpe 的恶意软件，自 2022 年以来已累计下载超过 620,000 次。

安全研究人员在应用商店中发现了 11 个应用程序，这些应用程序看似合法的照片编辑应用程序、相机和智能手机壁纸包，但实际上隐藏了恶意软件。这些应用程序已从商店中删除。该恶意软件主要针对泰国用户，但遥测数据显示波兰、马来西亚、印度尼西亚和新加坡的受害者。

这些应用程序提供了承诺的功能以避免怀疑，但包含一个从应用程序资产运行有效负载的恶意植入程序。有效载荷联系远程服务器并发送有关受感染设备的信息，包括移动国家代码和移动网络代码。服务器以付费订阅页面作为响应，恶意软件会在一个不可见的浏览器窗口中打开该页面，并尝试代表用户进行订阅。该恶意软件的最新版本已将大部分恶意功能移至本机库，以逃避安全工具的检测。

Fleckpe 并不是第一个在 Google Play 商店中发现的订阅恶意软件。还发现了其他 fleeceware 系列，如 Joker 和 Harly，它们为受感染的设备订阅不需要的高级服务并进行账单欺诈。虽然订阅恶意软件不像间谍软件或金融木马那样危险，但它仍可能导致未经授权的收费，并被用来收集敏感信息或充当更多恶意软件的入口点。

这些发现突显出威胁行为者不断发现新方法，将其应用程序偷偷带入官方应用程序市场，要求用户在下载应用程序和授予权限时谨慎行事。

威胁行为者可以使用哪些方法在 Android 应用程序中隐藏恶意软件？

威胁行为者可以使用各种方法在 Android 应用程序中隐藏恶意软件，其中包括：

• 混淆：恶意软件作者可以使用混淆技术将恶意代码隐藏在应用程序中。这可能包括重命名函数、更改变量名称以及使用加密使代码更难分析。
• 社会工程：恶意软件作者可以使用社会工程策略来诱骗用户下载和安装恶意应用程序。这可能涉及创建看似合法的虚假应用程序、使用误导性应用程序描述或图标，或冒充合法应用程序以获得用户信任。
• 重新打包：恶意软件作者可以将合法应用程序与恶意代码重新打包，并通过第三方应用程序商店或其他渠道分发。这会使用户更难检测到恶意软件，因为该应用程序看起来是合法的。
• 利用应用程序漏洞：恶意软件作者可以利用合法应用程序中的漏洞来注入恶意代码或在设备上获得更高的权限。这可以让恶意软件逃避检测并执行各种恶意操作。
• 使用 Rootkit：恶意软件作者可以使用 Rootkit 将恶意软件隐藏在受感染的设备上。 Rootkit 是一种恶意软件，旨在对操作系统和设备上运行的其他软件隐藏自身。这会使检测和删除恶意软件变得更加困难。