'Fleckpe' adlı yeni bir Android aboneliği kötü amaçlı yazılım, resmi Android App Store Google Play'de 620.000'den fazla indirilen meşru uygulamalar olarak gizlendi.
Kaspersky, Fleckpe'nin kullanıcıları premium hizmetlere abone olarak, Jocker ve Harly gibi diğer kötü amaçlı Android kötü amaçlı yazılımların saflarına katılarak yetkisiz ücretler üreten kötü amaçlı yazılım alanına en yeni ek olduğunu ortaya koyuyor.
Tehdit aktörleri, premium hizmetler aracılığıyla üretilen aylık veya bir kerelik abonelik ücretlerinin payını alarak yetkisiz aboneliklerden para kazanırlar. Tehdit oyuncuları hizmetleri işlettiğinde, tüm geliri korurlar.
Kaspersky'nin verileri, Truva atının geçen yıldan beri aktif olduğunu, ancak yakın zamanda keşfedildiğini ve belgelendiğini gösteriyor.
Fleckpe kurbanlarının çoğu Tayland, Malezya, Endonezya, Singapur ve Polonya'da ikamet ediyor, ancak dünya çapında daha az sayıda enfeksiyon bulunacak.
Kaspersky, aşağıdaki adlar altında dağıtılan görüntü editörlerini, fotoğraf kütüphanelerini, premium duvar kağıtlarını ve Google Play'de daha fazla kişiyi taklit eden 11 Fleckpe Truva uygulamasını keşfetti:
"Raporumuz yayınlandığı zamana kadar tüm uygulamalar pazardan kaldırılmıştı, ancak kötü niyetli aktörler, henüz keşfedilmemiş uygulamaları kullanmış olabilir, böylece gerçek yükleme sayısı daha yüksek olabilir." Raporunda Kaspersky'yi açıklıyor.
Yukarıda listelenen uygulamaları daha önce yükleyen Android kullanıcılarına derhal kaldırmaları ve cihazda hala gizlenmiş kötü amaçlı kod kalıntılarını kökünden sökmek için bir AV taraması çalıştırmaları önerilir.
Kurulum üzerine, kötü amaçlı uygulama, birçok premium hizmette abonelik onay kodlarını yakalamak için gerekli bildirim içeriğine erişim talep eder.
Bir fleckpe uygulaması başlatıldığında, kötü amaçlı kod içeren gizli bir yükü çözer, daha sonra yürütülür.
Bu yük, MCC (mobil ülke kodu) ve MNC (mobil ağ kodu) dahil olmak üzere yeni enfekte olmuş cihaz hakkında temel bilgiler göndermek için tehdit aktörünün komut ve kontrol (C2) sunucusuyla iletişim kurmaktan sorumludur.
C2, Trojan'ın görünmez bir web tarayıcısı penceresinde açtığı ve kurbanı premium bir hizmete abone olduğu bir web sitesi adresi ile yanıt verir.
Bir onay kodu girilmesi gerekiyorsa, kötü amaçlı yazılım onu cihazın bildirimlerinden alacak ve aboneliği sonuçlandırmak için gizli ekranda gönderecektir.
Uygulamanın ön planı, kurbanlara vaat edilen işlevselliği sunar, gerçek amaçlarını gizler ve şüpheleri artırma olasılığını azaltır.
Kaspersky tarafından analiz edilen Fleckpe'nin en son sürümlerinde, geliştiriciler abonelik kodunun çoğunu yükten yerel kütüphaneye kaydırdı ve yükü bildirimleri ele geçirmekten ve web sayfalarını görüntülemekten sorumlu bıraktı.
Ayrıca, en son yük sürümüne bir gizleme katmanı dahil edilmiştir.
Kaspersky, kötü amaçlı yazılımların içerik oluşturucularının Fleckpe'nin kaçınabilirliğini artırmak ve analiz etmeyi daha zor hale getirmek için bu değişiklikleri uyguladığına inanıyor.
Casus yazılım veya veri çalma kötü amaçlı yazılım kadar tehlikeli olmasa da, abonelik Truva atları yine de yetkisiz ücretlere maruz kalabilir, enfekte cihazın kullanıcısı hakkında hassas bilgiler toplayabilir, ND potansiyel olarak daha güçlü yükler için giriş noktaları olarak hizmet edebilir.
Bu tehditlere karşı korumak için Android kullanıcılarına yalnızca güvenilir kaynaklardan ve geliştiricilerden uygulamaları indirmeleri ve kurulum sırasında talep edilen izinlere dikkat etmeleri tavsiye edilir.
Siber suçlular, google Play'e Android kötü amaçlı yazılım eklemek için 5 bin dolar şarj
Yeni Android Fluhorse kötü amaçlı yazılım şifrelerinizi çalıyor, 2FA Kodları
35m indirme ile Android Minecraft klonları, kullanıcıları reklam yazılımı ile enfekte eder
Google, kötü amaçlı yazılımları engellemek için 173K geliştirici hesaplarını yasakladı, sahtekarlık halkaları
Yeni bukalemun android kötü amaçlı yazılım bankası, govt ve kripto uygulamaları
Kaynak: Bleeping Computer