Logiciels malveillants mobiles Fleckpe
Un nouveau malware basé sur un abonnement Android, nommé Fleckpe, a été découvert sur Google Play, la boutique d'applications Android officielle. Le malware est camouflé en plusieurs applications légitimes et a jusqu'à présent réussi à amasser plus de 600 000 téléchargements. Fleckpe est l'une des nombreuses menaces de logiciels malveillants Android qui abonnent frauduleusement les utilisateurs à des services premium et génèrent des frais non autorisés. Les acteurs de la menace à l'origine de ces logiciels malveillants gagnent de l'argent en recevant une partie des frais d'abonnement mensuels ou uniques générés par les services premium.
Si les acteurs de la menace exploitent eux-mêmes les services, ils sont susceptibles de conserver l'intégralité des revenus. La découverte de Fleckpe est le dernier exemple de cybercriminels exploitant la confiance et la popularité de magasins d'applications réputés pour distribuer des logiciels menaçants.
Table des matières
Fleckpe se propage via des applications cheval de Troie sur le Google Play Store
Bien que le cheval de Troie Fleckpe soit actif depuis plus d'un an, il n'a été découvert et documenté que récemment. La majorité des victimes de Fleckpe résident en Thaïlande, en Malaisie, en Indonésie, à Singapour et en Pologne, avec un plus petit nombre d'infections trouvées dans le monde.
Jusqu'à présent, 11 applications différentes contenant le malware Fleckpe ont été découvertes et supprimées du Google Play Store. Ces applications étaient déguisées en éditeurs d'images, bibliothèques de photos, fonds d'écran premium et autres programmes apparemment légitimes. Les noms des applications menaçantes sont com.impressionism. pros.app, éditeur com.beauty.camera.plus.photo, com.beauty.slimming.pro, cadre com.picture.picture, com. microchip.vodeoeditor, com.gif.camera.editor, com.apps.camera.photos, com.toolbox.photoeditor, com.hd.h4ks.wallpaper, com.draw.graffiti et com.urox.opixe.nightcamreapro.
Bien que toutes ces applications aient été supprimées du marché, il est possible que les attaquants créent d'autres applications, de sorte que le nombre d'installations pourrait être supérieur à ce qui est actuellement connu.
Le logiciel malveillant Fleckpe fait des abonnements non autorisés à des services coûteux
Lorsqu'un utilisateur installe une application Fleckpe, l'application demande l'accès au contenu de la notification. Cet accès est nécessaire pour capturer les codes de confirmation d'abonnement sur de nombreux services premium. Une fois l'application lancée, elle décode une charge utile cachée qui contient du mauvais code. Une fois exécuté, il essaie de contacter le serveur de commande et de contrôle (C2) de l'auteur de la menace pour envoyer des informations de base sur l'appareil infecté. Les données transmises comprennent le Mobile Country Code (MCC) et le Mobile Network Code (MNC).
En réponse, le serveur C2 fournit une adresse de site Web que le cheval de Troie ouvre dans une fenêtre de navigateur Web invisible. Le malware inscrit la victime à un service premium à son insu ou sans son consentement. Si un code de confirmation est requis, le Fleckpe le récupère à partir des notifications de l'appareil et le soumet sur l'écran masqué pour terminer le processus d'abonnement.
Malgré leur objectif néfaste, les applications Fleckpe fournissent toujours leurs fonctionnalités annoncées à la victime. Cela aide à dissimuler leurs véritables intentions et réduit la probabilité d'éveiller les soupçons.
Les cybercriminels continuent de mettre à jour le logiciel malveillant Fleckpe Android
Les versions les plus récentes du malware Fleckpe Mobile ont subi quelques modifications. Les développeurs ont déplacé une partie importante du code effectuant les abonnements non autorisés de la charge utile vers la bibliothèque native. La charge utile se concentre désormais sur l'interception des notifications et l'affichage des pages Web.
De plus, la dernière version de la charge utile inclut une couche d'obscurcissement. Les chercheurs pensent que ces modifications ont été apportées pour rendre Fleckpe plus difficile à analyser et augmenter son caractère évasif.
Bien qu'ils ne soient pas considérés comme aussi dangereux que les logiciels espions ou les logiciels malveillants voleurs de données, les chevaux de Troie d'abonnement peuvent néanmoins causer des dommages importants. Ils peuvent entraîner des frais non autorisés, collecter des informations sensibles sur l'utilisateur et servir de points d'entrée pour le déploiement de charges utiles plus puissantes.
