Se detectó un nuevo malware de suscripción de Android llamado 'Fleckpe' en Google Play, la tienda oficial de aplicaciones de Android, disfrazado de aplicaciones legítimas descargadas más de 620,000 veces.
Kaspersky revela que Fleckpe es la última incorporación al reino del malware que genera cargos no autorizados al suscribir a los usuarios a servicios premium, uniéndose a las filas de otros malware maliciosos para Android, como Jocker y Harly .
Los actores de amenazas ganan dinero con suscripciones no autorizadas al recibir una parte de las tarifas de suscripción mensuales o únicas generadas a través de los servicios premium. Cuando los actores de amenazas operan los servicios, se quedan con todos los ingresos.
Los datos de Kaspersky sugieren que el troyano ha estado activo desde el año pasado, pero fue descubierto y documentado recientemente.
La mayoría de las víctimas de Fleckpe residen en Tailandia, Malasia, Indonesia, Singapur y Polonia, pero se encuentra un número menor de infecciones en todo el mundo.
Kaspersky descubrió 11 aplicaciones troyanas Fleckpe que se hacen pasar por editores de imágenes, bibliotecas de fotos, fondos de pantalla premium y más en Google Play, distribuidas con los siguientes nombres:
- com.impresionismo.prozs.app
- com.imagen.fotograma
- com.belleza.adelgazamiento.pro
- com.beauty.camera.plus.photoeditor
- com.microclip.videoeditor
- com.gif.camera.editor
- com.apps.camera.photos
- com.toolbox.photoeditor
- com.hd.h4ks.fondo de pantalla
- com.draw.graffiti
- com.urox.opixe.nightcamreapro
"Todas las aplicaciones se habían eliminado del mercado cuando se publicó nuestro informe, pero los actores maliciosos podrían haber implementado otras aplicaciones aún no descubiertas, por lo que la cantidad real de instalaciones podría ser mayor". explica Kaspersky en su informe .
Se recomienda a los usuarios de Android que hayan instalado previamente las aplicaciones enumeradas anteriormente que las eliminen de inmediato y ejecuten un análisis AV para eliminar cualquier resto de código malicioso que aún esté oculto en el dispositivo.
Suscribiéndote en segundo plano
Tras la instalación, la aplicación maliciosa solicita acceso al contenido de notificación necesario para capturar códigos de confirmación de suscripción en muchos servicios premium.
Cuando se inicia una aplicación Fleckpe, decodifica una carga útil oculta que contiene código malicioso, que luego se ejecuta.
Esta carga útil es responsable de contactar al servidor de comando y control (C2) del actor de amenazas para enviar información básica sobre el dispositivo recién infectado, incluido el MCC (Código de país móvil) y MNC (Código de red móvil).
El C2 responde con una dirección de sitio web que el troyano abre en una ventana invisible del navegador web y suscribe a la víctima a un servicio premium.
Si es necesario ingresar un código de confirmación, el malware lo recuperará de las notificaciones del dispositivo y lo enviará a la pantalla oculta para finalizar la suscripción.
El primer plano de la aplicación aún ofrece a las víctimas la funcionalidad prometida, ocultando su propósito real y reduciendo la probabilidad de levantar sospechas.
En las últimas versiones de Fleckpe analizadas por Kaspersky, los desarrolladores cambiaron la mayor parte del código de suscripción de la carga útil a la biblioteca nativa, dejando la carga útil responsable de interceptar notificaciones y mostrar páginas web.
.jpg)
Interceptar el contenido de las notificaciones (Kaspersky)
Además, se ha incorporado una capa de ofuscación en la versión de carga útil más reciente.
Kaspersky cree que los creadores del malware implementaron estas modificaciones para aumentar la capacidad de evasión de Fleckpe y dificultar su análisis.
Si bien no son tan peligrosos como el software espía o el malware que roba datos, los troyanos de suscripción aún pueden incurrir en cargos no autorizados, recopilar información confidencial sobre el usuario del dispositivo infectado y servir potencialmente como puntos de entrada para cargas útiles más potentes.
Para protegerse contra estas amenazas, se recomienda a los usuarios de Android que solo descarguen aplicaciones de fuentes y desarrolladores confiables y presten atención a los permisos solicitados durante la instalación.
