Istraživači sigurnosti otkrili su novi trojanski maliciozni softver instaliran na više od 620.000 uređaja, nakon što je bio skriven u 11 Android aplikacija navedenih na Google Play-u.
Nazvan “Fleckpe” od strane Kaspersky antimalvera, maliciozni softver je sličan sojevima Jocker i Harly i aktivan je od 2022. godine.
Dizajniran je tako da prikriveno pretplati žrtvu na premium usluge, stvarajući prihod za svog operatera dok korisnik nije u potpunosti svjestan.
Fleckpe je bio skriven u nekolicini aplikacija za uređivanje fotografija, paketima pozadina za pametne telefone i drugim naslovima, iako je maliciozna kampanja možda čak i opsežnija od one do sada otkrivene, upozorio je Kaspersky.
Kada se aplikacija pokrene, učitava jako zamagljenu izvornu biblioteku koja sadrži maliciozni dropper koji dešifruje i pokreće payload iz sredstava aplikacije. Ovaj payload kontaktira komandni i kontrolni (C2) server hakera, šaljući informacije o uređaju nazad i zauzvrat primajući plaćenu stranicu za pretplatu.
Trojanac tada otvara nevidljivi web pretraživač i pokušava se pretplatiti u ime korisnika, povlačeći potvrdni kod ako je to potrebno iz obavještenja.
Za sve to vrijeme, žrtva je u mogućnosti da koristi legitimnu funkcionalnost aplikacije, nesvjesna da je pretplaćena na plaćenu uslugu koja ih košta novca.
“Trojanac nastavlja da se razvija. U novijim verzijama, njegovi kreatori su nadogradili matičnu biblioteku tako što su tamo premestili većinu pretplatničkog koda. Payload sada samo presreće obavijesti i pregleda web stranice, djelujući kao most između izvornog koda i Android komponenti potrebnih za kupovinu pretplate“ objasnio je Kaspersky.
“Ovo je urađeno kako bi se značajno zakomplikovala analiza i otežano otkrivanje malicioznog softvera pomoću sigurnosnih alata. Za razliku od izvorne biblioteke, payload gotovo da nema mogućnosti izbjegavanja, iako su hakeri dodali malo zamagljivanja koda u najnoviju verziju.”
Ovakvi pretplatnički trojanci su sve popularniji način za pretnje da zarade novac, a nažalost često završe u službenoj Play prodavnici.
„Sve veća složenost Trojanaca omogućila im je da uspješno zaobiđu mnoge anti malware provjere koje implementuju tržišta, ostajući neotkriveni tokom dugog vremenskog perioda“ upozorio je Kaspersky. “Pogođeni korisnici često ne uspiju odmah otkriti neželjene pretplate, a kamoli otkriti kako su se uopšte dogodile.”
Izvor: Infosecurity Magazine
