Fleckpe Mobile Malware
Bei Google Play, dem offiziellen Android-App-Store, wurde eine neue abonnementbasierte Android-Malware namens Fleckpe entdeckt. Die Malware ist als mehrere legitime Anwendungen getarnt und hat es bisher geschafft, über 600.000 Downloads anzuhäufen. Fleckpe ist eine von vielen Android-Malware-Bedrohungen, die Benutzer in betrügerischer Absicht Premium-Dienste abonnieren und nicht autorisierte Gebühren generieren. Bedrohungsakteure hinter solcher Malware verdienen Geld, indem sie einen Teil der monatlichen oder einmaligen Abonnementgebühren erhalten, die durch die Premium-Dienste generiert werden.
Wenn die Bedrohungsakteure die Dienste selbst betreiben, dürften sie die gesamten Einnahmen behalten. Die Entdeckung von Fleckpe ist das jüngste Beispiel dafür, wie Cyberkriminelle das Vertrauen und die Popularität seriöser App Stores ausnutzen, um bedrohliche Software zu verbreiten.
Inhaltsverzeichnis
Fleckpe verbreitet sich über trojanisierte Anwendungen im Google Play Store
Obwohl der Fleckpe-Trojaner seit über einem Jahr aktiv ist, wurde er erst kürzlich entdeckt und dokumentiert. Die Mehrheit der Opfer von Fleckpe lebt in Thailand, Malaysia, Indonesien, Singapur und Polen, wobei weltweit eine geringere Anzahl von Infektionen festgestellt wurde.
Bisher wurden 11 verschiedene Anwendungen mit der Fleckpe-Malware entdeckt und aus dem Google Play Store entfernt. Diese Anwendungen waren als Bildbearbeitungsprogramme, Fotobibliotheken, Premium-Hintergründe und andere scheinbar legitime Programme getarnt. Die Namen der bedrohlichen Anwendungen sind com.impressionism. pros.app, com.beauty.camera.plus.photo editor, com.beauty.slimming.pro, com.picture.picture frame, com. microchip.vodeoeditor, com.gif.camera.editor, com.apps.camera.photos, com.toolbox.photoeditor, com.hd.h4ks.wallpaper, com.draw.graffiti und com.urox.opixe.nightcamreapro.
Obwohl alle diese Anwendungen vom Markt entfernt wurden, ist es möglich, dass die Angreifer andere Anwendungen erstellen, sodass die Anzahl der Installationen höher sein könnte als derzeit bekannt.
Die Fleckpe-Malware nimmt nicht autorisierte Abonnements für teure Dienste vor
Wenn ein Benutzer eine Fleckpe-App installiert, fordert die Anwendung Zugriff auf Benachrichtigungsinhalte an. Dieser Zugriff ist erforderlich, um Abonnementbestätigungscodes für viele Premiumdienste zu erfassen. Sobald die Anwendung gestartet wird, dekodiert sie eine versteckte Nutzlast, die fehlerhaften Code enthält. Nach der Ausführung versucht es, den Command-and-Control-Server (C2) des Angreifers zu kontaktieren, um grundlegende Informationen über das infizierte Gerät zu senden. Die übertragenen Daten umfassen den Mobile Country Code (MCC) und den Mobile Network Code (MNC).
Als Antwort stellt der C2-Server eine Website-Adresse bereit, die der Trojaner in einem unsichtbaren Webbrowser-Fenster öffnet. Die Malware abonniert das Opfer ohne sein Wissen oder seine Zustimmung zu einem Premium-Dienst. Wenn ein Bestätigungscode erforderlich ist, ruft die Fleckpe ihn aus den Benachrichtigungen des Geräts ab und übermittelt ihn auf dem versteckten Bildschirm, um den Abonnementvorgang abzuschließen.
Trotz ihres schändlichen Zwecks bieten die Fleckpe-Anwendungen dem Opfer immer noch ihre beworbene Funktionalität. Dies hilft, ihre wahren Absichten zu verschleiern und verringert die Wahrscheinlichkeit, Verdacht zu erregen.
Cyberkriminelle aktualisieren weiterhin die Android-Malware Fleckpe
Die neuesten Versionen der Malware Fleckpe Mobile wurden einigen Änderungen unterzogen. Die Entwickler haben einen erheblichen Teil des Codes, der die nicht autorisierten Abonnements durchführt, von der Nutzlast in die native Bibliothek verschoben. Die Payload konzentriert sich nun auf das Abfangen von Benachrichtigungen und das Anzeigen von Webseiten.
Darüber hinaus enthält die neueste Version der Nutzlast eine Verschleierungsebene. Forscher glauben, dass diese Modifikationen vorgenommen wurden, um die Analyse von Fleckpe zu erschweren und seine Ausweichfähigkeit zu erhöhen.
Obwohl sie nicht als so gefährlich wie Spyware oder datenstehlende Malware angesehen werden, können Abonnement-Trojaner dennoch erheblichen Schaden anrichten. Sie können zu nicht autorisierten Belastungen führen, sensible Informationen über den Benutzer sammeln und als Einstiegspunkte für den Einsatz leistungsfähigerer Nutzlasten fungieren.
