Fleckpe 移動惡意軟件隱藏在照片編輯應用程序中

在 Google Play 商店中發現了一種新發現的名為 Fleckpe 的惡意軟件，自 2022 年以來已累計下載超過 620,000 次。

安全研究人員在應用商店中發現了 11 個應用程序，這些應用程序看似合法的照片編輯應用程序、相機和智能手機壁紙包，但實際上隱藏了惡意軟件。這些應用程序已從商店中刪除。該惡意軟件主要針對泰國用戶，但遙測數據顯示波蘭、馬來西亞、印度尼西亞和新加坡的受害者。

這些應用程序提供了承諾的功能以避免懷疑，但包含一個從應用程序資產運行有效負載的惡意植入程序。有效載荷聯繫遠程服務器並發送有關受感染設備的信息，包括移動國家代碼和移動網絡代碼。服務器以付費訂閱頁面作為響應，惡意軟件會在一個不可見的瀏覽器窗口中打開該頁面，並嘗試代表用戶進行訂閱。該惡意軟件的最新版本已將大部分惡意功能移至本機庫，以逃避安全工具的檢測。

Fleckpe 並不是第一個在 Google Play 商店中發現的訂閱惡意軟件。還發現了其他 fleeceware 系列，如 Joker 和 Harly，它們為受感染的設備訂閱不需要的高級服務並進行賬單欺詐。雖然訂閱惡意軟件不像間諜軟件或金融木馬那樣危險，但它仍可能導致未經授權的收費，並被用來收集敏感信息或充當更多惡意軟件的入口點。

這些發現突顯出威脅行為者不斷發現新方法，將其應用程序偷偷帶入官方應用程序市場，要求用戶在下載應用程序和授予權限時謹慎行事。

威脅行為者可以使用哪些方法在 Android 應用程序中隱藏惡意軟件？

威脅行為者可以使用各種方法在 Android 應用程序中隱藏惡意軟件，其中包括：

• 混淆：惡意軟件作者可以使用混淆技術將惡意代碼隱藏在應用程序中。這可能包括重命名函數、更改變量名稱以及使用加密使代碼更難分析。
• 社會工程：惡意軟件作者可以使用社會工程策略來誘騙用戶下載和安裝惡意應用程序。這可能涉及創建看似合法的虛假應用程序、使用誤導性應用程序描述或圖標，或冒充合法應用程序以獲得用戶信任。
• 重新打包：惡意軟件作者可以將合法應用程序與惡意代碼重新打包，並通過第三方應用程序商店或其他渠道分發。這會使用戶更難檢測到惡意軟件，因為該應用程序看起來是合法的。
• 利用應用程序漏洞：惡意軟件作者可以利用合法應用程序中的漏洞來注入惡意代碼或在設備上獲得更高的權限。這可以讓惡意軟件逃避檢測並執行各種惡意操作。
• 使用 Rootkit：惡意軟件作者可以使用 Rootkit 將惡意軟件隱藏在受感染的設備上。 Rootkit 是一種惡意軟件，旨在對操作系統和設備上運行的其他軟件隱藏自身。這會使檢測和刪除惡意軟件變得更加困難。