A Fleckpe több mint 620 2022 felhasználó fizetett szolgáltatásaira iratkozott fel akaratlanul is szerte a világon. A Kaspersky kutatói új trójai családot fedeztek fel, amely a Google Play felhasználóit célozza meg. A Fleckpe névre keresztelt, előfizetésen alapuló bevételi modellt követő trójai mobilalkalmazásokon keresztül terjed, amelyek fotószerkesztőnek és háttérkép-letöltőnek álcázzák magukat, és fizetős szolgáltatásokra fizetnek elő a tudta nélkül. A 620-es észlelés óta a Fleckpe több mint XNUMX XNUMX eszközt fertőzött meg, és csapdába esett áldozatokat szerte a világon.
A megtett óvintézkedések ellenére időről időre rosszindulatú alkalmazásokat lehet feltölteni a Google Play Áruházba. Ezek közül a legbosszantóbbak a csoportos előfizetésen alapuló trójaiak. Ezek a trójaiak előzetes értesítés nélkül olyan szolgáltatásokra fizetnek elő áldozataiknak, amelyek megvásárlására soha nem gondoltak volna, a csalások áldozatai pedig nem veszik észre, amíg az előfizetési díj meg nem jelenik a számláikban. Az ilyen típusú rosszindulatú programok gyakran az Android-alkalmazások hivatalos piacán találják magukat. Két nemrégiben felfedezett példa ezekre a Jocker család és a Harly család.
A Kaspersky legújabb felfedezése ezen a területen a trójai falók új családja, a Fleckpe, amely a Google Playen terjed, fotószerkesztőket, háttérképcsomagokat és egyéb alkalmazásokat utánozva. Ez a trójai, mint sok más, a nem tudatos felhasználókat fizetett szolgáltatásokra fizeti elő.
A Kaspersky adatai azt mutatják, hogy az újonnan felfedezett trójai 2022 óta aktív. A Kaspersky kutatói azt találták, hogy a Fleckpe-t több mint 11 620 eszközre telepítették legalább XNUMX különböző alkalmazáson keresztül. Bár az alkalmazásokat a Kaspersky jelentés közzétételekor eltávolították a piacról, lehetséges, hogy a kiberbűnözők továbbra is más forrásokon keresztül terjesztik ezt a kártevőt. Ez azt jelenti, hogy a tényleges letöltések száma magasabb lehet.
Példa egy trójai fertőzött alkalmazásra a Google Playen:
A fertőzött Fleckpe alkalmazás úgy indul, hogy egy nagyon álcázott natív könyvtárat helyez el az eszközön, amely rosszindulatú droppereket tartalmaz, amelyek felelősek a rosszindulatú rakományok visszafejtéséért és futtatásáért. Ez a rakomány felveszi a kapcsolatot a támadók parancs- és vezérlőkiszolgálójával, és információkat továbbít a fertőzött eszközről, beleértve az országot és az operátor adatait. Ezután a fizetett előfizetési oldal megosztásra kerül az eszközzel. A trójai titokban elindít egy webböngésző munkamenetet, és a felhasználó nevében próbál előfizetni a fizetős szolgáltatásra. Ha az előfizetéshez megerősítő kód szükséges, a szoftver hozzáfér az eszköz értesítéseihez is, és rögzíti a küldött megerősítő kódot. Így a trójai pénzt veszítenek a felhasználók azáltal, hogy akaratuk ellenére előfizetnek egy fizetős szolgáltatásra. Érdekes módon ez nem befolyásolja az alkalmazás funkcionalitását, és a felhasználók továbbra is szerkeszthetik a fotókat vagy beállíthatnak háttérképeket a háttérben anélkül, hogy észrevennék, hogy egy szolgáltatásért díjat kell fizetniük.
Dmitrij Kalinin, a Kaspersky biztonsági kutatója elmondta:
„Az előfizetéses trójaiak az utóbbi időben egyre népszerűbbek a csalók körében. Az ezeket használó kiberbűnözők egyre gyakrabban fordulnak a hivatalos piacokhoz, például a Google Playhez a rosszindulatú programok terjesztése érdekében. A trójaiak növekvő kifinomultsága lehetővé teszi számukra, hogy sikeresen kijátsszák a piacterek által kikényszerített különféle rosszindulatú programok elleni vezérlőket, és hosszú ideig észrevétlenül maradjanak. Az ezen szoftverek által érintett felhasználók nem tudják megtudni, hogy eleve hogyan fizettek elő a szóban forgó szolgáltatásokra, és nem tudják azonnal felfedezni a nem kívánt előfizetéseket. Mindez az előfizetéses trójaiakat az illegális bevétel megbízható forrásává teszi a kiberbűnözők szemében.”
A Kaspersky szakértői azt javasolják a felhasználóknak, hogy kerüljék az előfizetésen alapuló rosszindulatú programok fertőzését:
„Legyen óvatos az alkalmazásokkal, beleértve a legális piacokról, például a Google Playről származó alkalmazásokat, és szabályozza, hogy milyen engedélyeket ad a telepített alkalmazásoknak. Ezek egy része biztonsági kockázatot jelenthet.
Telepítsen telefonjára víruskereső szoftvert, amely képes észlelni az ilyen trójaiakat, például a Kaspersky Premiumot.
Ne telepítsen harmadik féltől származó vagy kalóz webhelyekről származó alkalmazásokat. Ne feledje, hogy a támadók tisztában vannak azzal, hogy az emberek szeretik az ingyenes dolgokat, és minden lehetséges módon igyekeznek kihasználni ezt a helyzetet.
Ha előfizetéses rosszindulatú programot észlel a telefonján, azonnal távolítsa el a fertőzött alkalmazást az eszközről, vagy tiltsa le, ha előre telepítve van.”