Fleckpe モバイル マルウェア
Fleckpe という名前の新しい Android サブスクリプション ベースのマルウェアが、公式の Android アプリ ストアである Google Play で発見されました。このマルウェアは、複数の正当なアプリケーションに偽装されており、これまでに 60 万回以上のダウンロードに成功しています。 Fleckpe は、ユーザーをプレミアム サービスに不正に登録させ、不正な料金を発生させる多くの Android マルウェアの脅威の 1 つです。このようなマルウェアの背後にいる脅威アクターは、プレミアム サービスを通じて発生する月額または 1 回限りのサブスクリプション料金の一部を受け取ることで収益を得ています。
脅威アクター自身がサービスを運営している場合、彼らは収益全体を維持する可能性があります。 Fleckpe の発見は、サイバー犯罪者が評判の良いアプリケーション ストアの信頼と人気を悪用して、脅威を与えるソフトウェアを配布する最新の例です。
目次
Fleckpe は、Google Play ストアのトロイの木馬化されたアプリケーションを介して拡散します
Fleckpe トロイの木馬は 1 年以上活動していますが、発見され文書化されたのはつい最近のことです。 Fleckpe の被害者の大半はタイ、マレーシア、インドネシア、シンガポール、ポーランドに居住しており、世界中で発見された感染者の数は少数です。
これまでに、Fleckpe マルウェアを運ぶ 11 の異なるアプリケーションが発見され、Google Play ストアから削除されました。これらのアプリケーションは、画像エディタ、フォト ライブラリ、プレミアム壁紙、およびその他の一見正規のプログラムに偽装されていました。脅威を与えるアプリケーションの名前は、com.impressionism です。 pros.app、com.beauty.camera.plus.photo editor、com.beauty.slimming.pro、com.picture.picture frame、com. microchip.vodeoeditor、com.gif.camera.editor、com.apps.camera.photos、com.toolbox.photoeditor、com.hd.h4ks.wallpaper、com.draw.graffiti、com.urox.opixe.nightcamreapro.
これらのアプリケーションはすべて市場から削除されていますが、攻撃者が他のアプリケーションを作成する可能性があるため、インストール数は現在知られているよりも多い可能性があります。
Fleckpe マルウェアは、高価なサービスへの不正なサブスクリプションを作成します
ユーザーが Fleckpe アプリをインストールすると、アプリケーションは通知コンテンツへのアクセスを要求します。このアクセスは、多くのプレミアム サービスでサブスクリプション確認コードを取得するために必要です。アプリケーションが起動されると、不正なコードを含む隠しペイロードがデコードされます。実行されると、攻撃者のコマンド アンド コントロール (C2) サーバーに接続して、感染したデバイスに関する基本情報を送信しようとします。送信されるデータには、Mobile Country Code (MCC) と Mobile Network Code (MNC) が含まれます。
応答として、C2 サーバーは、トロイの木馬が目に見えない Web ブラウザ ウィンドウで開く Web サイト アドレスを提供します。マルウェアは、被害者が知らないうちに同意なしに、被害者をプレミアム サービスに登録させます。確認コードが必要な場合、Fleckpe はデバイスの通知からそれを取得し、非表示の画面に送信してサブスクリプション プロセスを完了します。
悪意のある目的にもかかわらず、Fleckpe アプリケーションは依然として宣伝されている機能を被害者に提供します。これにより、彼らの真意を隠すことができ、疑惑を抱く可能性を減らすことができます。
サイバー犯罪者は Fleckpe Android マルウェアを更新し続けています
Fleckpe Mobile マルウェアの最新バージョンには、いくつかの変更が加えられています。開発者は、無許可のサブスクリプションを実行するコードの大部分をペイロードからネイティブ ライブラリに移動しました。ペイロードは、通知の傍受と Web ページの表示に焦点を当てています。
さらに、ペイロードの最新バージョンには、難読化のレイヤーが含まれています。研究者は、これらの変更が Fleckpe の分析をより困難にし、回避能力を高めるために行われたと考えています。
スパイウェアやデータを盗むマルウェアほど危険ではないと考えられているかもしれませんが、サブスクリプション型トロイの木馬は依然として重大な被害をもたらす可能性があります。それらは、不正な請求を引き起こしたり、ユーザーに関する機密情報を収集したり、より強力なペイロードを展開するためのエントリ ポイントとして機能したりする可能性があります。
