Fleckpe har uforvarende abonneret på betalte tjenester af mere end 620 brugere over hele verden. Kaspersky-forskere har opdaget en ny familie af trojanske heste rettet mod Google Play-brugere. Kaldet Fleckpe, efter en abonnementsbaseret indtægtsmodel, spredes denne trojaner gennem mobilapps, der forklæder sig som fotoredigerere og tapetdownloadere, og abonnerer på betalte tjenester uden deres viden. Siden det blev opdaget i 2022, har Fleckpe inficeret mere end 620 enheder og fanget ofre rundt om i verden.
På trods af alle de forholdsregler, der er taget, kan ondsindede applikationer uploades til Google Play Butik fra tid til anden. Den mest irriterende af disse er de gruppeabonnementsbaserede trojanske heste. Disse trojanske heste, der abonnerer på deres ofre på tjenester, de aldrig ville have tænkt på at købe, uden varsel, og ofre for svindel opdager det ikke, før deres abonnementsgebyr er afspejlet i deres regninger. Denne type malware befinder sig ofte på det officielle marked for Android-apps. To nyligt opdagede eksempler på disse var Jocker-familien og Harly-familien.
Kasperskys seneste opdagelse på dette område er den nye familie af trojanske heste kaldet Fleckpe, som spredes gennem Google Play ved at efterligne billedredigeringsprogrammer, tapetpakker og andre applikationer. Denne trojaner, som mange andre, abonnerer uvidende brugere på betalte tjenester.
Kaspersky-data viser, at den nyligt opdagede trojaner har været aktiv siden 2022. Kaspersky-forskere fandt ud af, at Fleckpe blev installeret på mere end 11 enheder gennem mindst 620 forskellige applikationer. Selvom applikationerne blev fjernet fra markedet, da Kaspersky-rapporten blev offentliggjort, er det muligt, at cyberkriminelle vil fortsætte med at distribuere denne malware gennem andre kilder. Det betyder, at det faktiske downloadantal kan være højere.
Eksempel på en trojansk inficeret app på Google Play:
Den inficerede Fleckpe-applikation starter med at placere et meget forklædt indbygget bibliotek på enheden, der indeholder ondsindede droppere, der er ansvarlige for at dekryptere og køre ondsindede nyttelaster. Denne nyttelast kontakter angribernes kommando- og kontrolserver og transmitterer information om den inficerede enhed, herunder land- og operatøroplysninger. Derefter deles den betalte abonnementsside med enheden. Trojaneren starter i al hemmelighed en webbrowsersession og forsøger at abonnere på den betalte tjeneste på vegne af brugeren. Hvis et abonnement kræver en bekræftelseskode, får softwaren også adgang til enhedens meddelelser og fanger den sendte bekræftelseskode. Trojaneren får således brugere til at tabe penge ved at abonnere på en betalt tjeneste mod deres vilje. Interessant nok påvirker dette ikke appens funktionalitet, og brugere kan fortsætte med at redigere billeder eller indstille tapeter i baggrunden uden at indse, at de bliver opkrævet for en tjeneste.
Kasperskys sikkerhedsforsker Dmitry Kalinin sagde:
"Abonnementsbaserede trojanske heste har vundet popularitet blandt svindlere på det seneste. Cyberkriminelle, der bruger dem, henvender sig i stigende grad til officielle markeder som Google Play for at sprede malware. Den voksende sofistikering af trojanske heste giver dem mulighed for med succes at omgå forskellige anti-malware kontroller håndhævet af markedspladser og forblive uopdaget i lange perioder. Brugere, der er berørt af denne software, er ikke i stand til at finde ud af, hvordan de abonnerede på de pågældende tjenester i første omgang, og de kan ikke umiddelbart opdage de uønskede abonnementer. Alt dette gør abonnementsbaserede trojanske heste til en pålidelig kilde til ulovlig indkomst i cyberkriminelles øjne."
Kaspersky-eksperter anbefaler brugere at undgå abonnementsbaseret malwareinfektion:
"Vær forsigtig med apps, inklusive dem fra legitime markeder som Google Play, og kontroller, hvilke tilladelser du giver til installerede apps. Nogle af disse kan udgøre en sikkerhedsrisiko.
Installer antivirussoftware på din telefon, der kan registrere sådanne trojanske heste, såsom Kaspersky Premium.
Installer ikke apps fra tredjepartskilder eller piratkopierede websteder. Husk, at angribere er opmærksomme på folks forkærlighed for gratis ting og vil arbejde for at udnytte denne situation på enhver mulig måde.
Hvis der opdages abonnementsbaseret malware på din telefon, skal du straks fjerne den inficerede app fra din enhed eller deaktivere den, hvis den er forudinstalleret."