Twój telefon może po kryjomu subskrybować usługi premium. Trojan zainfekował ponad 620 tys. smartfonów

8 maja 2023 3 minuty czytania

Na swoim blogu SecureList Kaspersky informuje o nowej wersji złośliwego oprogramowania o nazwie Fleckpe. Za pośrednictwem pobranych z Google Play aplikacji zdołało ono zainfekować ponad 620 000 telefonów z Androidem — głównie w Tajlandii, ale i w Polsce, Malezji i Singapurze. Jest to trojan bazujący na aktywowaniu subskrypcji bez wiedzy i zgody użytkownika. Tego typu soft zazwyczaj pozostaje niezauważony do momentu, gdy ofiara odkryje, że została obciążona za usługi, których nie kupiła.

Trojan w Google Play Store – uwaga na te aplikacje

Niektóre z aplikacji zainfekowanych oprogramowaniem Flecke
Źródło: https://securelist.com/

Złośliwe oprogramowanie Fleckpe było rozpowszechniane za pośrednictwem Google Play w 11 aplikacjach do edycji zdjęć i zestawach tapet na smartfony. Aplikacje były aktywne od 2022 roku i zdążyły zostać pobrane i zainstalowane na ponad 620 tys. urządzeń. Obecnie zostały już usunięte ze sklepu, ale warto sprawdzić czy nie mamy ich na naszym smartfonie. Badacze z Kaspersky Lab sugerują jednak, że tego typu złośliwe oprogramowanie może być nadal obecne w innych aplikacjach — po prostu jeszcze nie zostało wykryte.

Jak przebiegała infekcja przy pomocy oprogramowania Fleckpe

Po uruchomieniu aplikacji, wczytuje ona mocno zaszyfrowaną bibliotekę natywną zawierającą złośliwy „dropper” (program uruchamiający), który deszyfruje i uruchamia ładunek (payload) z zasobów aplikacji.

trojan fleckpe fragment kodu — Źródło: https://securelist.com/

Ładunek łączy się z serwerem C&C (command-and-control), wysyłając informacje o zainfekowanym urządzeniu, takie jak MCC (kod kraju) i MNC (kod sieci komórkowej), które mogą zostać wykorzystane do identyfikacji kraju ofiary i operatora. Serwer C&C zwraca stronę płatnej subskrypcji. Trojan otwiera stronę w niewidocznej dla użytkownika przeglądarce internetowej i próbuje dokonać subskrypcji w jego imieniu. Jeśli wymaga to kodu potwierdzającego, złośliwe oprogramowanie pobiera go z powiadomień (do których dostęp został przyznany aplikacji przy pierwszym uruchomieniu).

Is your #phone secretly subscribed to premium services?🤔
Beware of the new "Fleckpe" #Trojan family on #GooglePlay⚠️More details via @Securelist 👉 https://t.co/oxYjJjSjuc pic.twitter.com/gD6vHxeorq
— Kaspersky (@kaspersky) May 6, 2023

Po otrzymaniu kodu trojan wykorzystuje go do zakończenia procesu subskrypcji. A tymczasem ofiara korzysta z deklarowanych funkcji aplikacji, na przykład instaluje tapety lub edytuje zdjęcia, nieświadoma faktu, że uruchomiła subskrypcję do płatnej usługi.

Trojany subskrypcyjne coraz popularniejsze

Badacze z Kaspersky Lab zwracają uwagę, że ostatnio „trojany subskrypcyjne” zyskały na popularności wśród oszustów. Pojawiają się w aplikacjach w oficjalnych sklepach, takich jak Google Play, a ich rosnąca złożoność i kamuflowanie złośliwego kodu pozwala na skuteczne obejście wielu zabezpieczeń wprowadzonych przez sklepy. Przez długi czas pozostają niewykryte, a użytkownicy, nawet gdy zorientują się w sytuacji, nie będą w stanie odkryć, jaka aplikacja dokonała niechcianej subskrypcji.

Z tego powodu tego typu złośliwe oprogramowanie jest coraz popularniejsze, stanowiąc niezawodne źródło nielegalnych dochodów cyberprzestępców. Dlatego instalując jakiekolwiek aplikacje, nawet z oficjalnych źródeł, warto dokładnie sprawdzać udzielane uprawnienia.