Un nuevo malware de suscripción de Android llamado Fleckpe ha sido descubierto en Google Play Store, acumulando más de 620,000 descargas en total desde 2022.
Kaspersky, que identificó 11 aplicaciones en la tienda oficial de aplicaciones, dijo que el malware se hizo pasar por aplicaciones legítimas de edición de fotos, cámaras y paquetes de fondos de pantalla para teléfonos inteligentes. Desde entonces, las aplicaciones han sido eliminadas.
La operación se centró principalmente en usuarios de Tailandia, aunque los datos de telemetría recopilados por la empresa rusa de ciberseguridad han revelado víctimas en Polonia, Malasia, Indonesia y Singapur.
Las aplicaciones ofrecen la funcionalidad prometida para evitar generar señales de alerta, pero ocultan su propósito real bajo el capó. La lista de las aplicaciones ofensivas es la siguiente:
- Cámara de Belleza Plus (com.beauty.camera.plus.photoeditor)
- Cámara de fotos de belleza (com.apps.camera.photos)
- Editor de fotos adelgazante de belleza (com.beauty.slimming.pro)
- Grafiti con la yema del dedo (com.draw.graffiti)
- Editor de cámara GIF (com.gif.camera.editor)
- Fondo de pantalla HD 4K (com.hd.h4ks.wallpaper)
- Impressionism Pro Camera (com.impressionism.prozs.app)
- Editor de vídeo Microclip (com.microclip.vodeoeditor)
- Cámara de modo nocturno Pro (com.urox.opixe.nightcamreapro)
- Editor de cámara de fotos (com.toolbox.photoeditor)
- Editor de efectos fotográficos (com.picture.pictureframe)
“Cuando la aplicación se inicia, carga una biblioteca nativa muy ofuscada que contiene un cuentagotas malicioso que descifra y ejecuta una carga útil desde los activos de la aplicación”, dijo el investigador de Kaspersky Dmitry Kalinin. dicho.
La carga útil, por su parte, está diseñada para comunicarse con un servidor remoto y transmitir información sobre el dispositivo comprometido (por ejemplo, código de país móvil y código de red móvil), luego de lo cual el servidor responde con una página de suscripción paga.
Posteriormente, el malware abre la página en una ventana invisible del navegador web e intenta suscribirse en nombre del usuario abusando de sus permisos para acceder a las notificaciones y obtener el código de confirmación necesario para completar el paso.
En una señal de que Fleckpe se está desarrollando activamente, las versiones recientes del malware han trasladado la mayor parte de la funcionalidad maliciosa a la biblioteca nativa en un intento por evadir la detección por parte de las herramientas de seguridad.
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
“La carga útil ahora solo intercepta notificaciones y ve páginas web, actuando como un puente entre el código nativo y los componentes de Android necesarios para comprar una suscripción”, señaló Kalinin.
“A diferencia de la biblioteca nativa, la carga útil casi no tiene capacidades de evasión, aunque los actores maliciosos agregaron algo de ofuscación de código a la última versión”.
Esta no es la primera vez que se encuentra malware de suscripción en Google Play Store. Fleckpe se une a otras familias de fleeceware como Joker (también conocido como Pan o Jocker) y Harlyque suscriben dispositivos infectados a servicios premium no deseados y realizan fraudes de facturación.
Si bien dichas aplicaciones no son tan peligrosas como el spyware o los troyanos financieros, aún pueden incurrir en cargos no autorizados y sus operadores las reutilizan para recopilar una amplia gama de información confidencial y servir como puntos de entrada para malware más nefasto.
En todo caso, los hallazgos son otra indicación de que los actores de amenazas continúan descubriendo nuevas formas de colar sus aplicaciones en los mercados oficiales de aplicaciones para escalar sus campañas, lo que requiere que los usuarios tengan cuidado al descargar aplicaciones y otorgarles permisos.
“La creciente complejidad de los troyanos les ha permitido eludir con éxito muchos controles antimalware implementados por los mercados, permaneciendo sin ser detectados durante largos períodos de tiempo”, dijo Kalinin.