Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Android-Abonnement-Malware "Fleckpe" bei Google Play gefunden
Mai 15, 2023 - TuxCare PR Team
Kaspersky Lab hat einen neuen Android-Abonnement-Virus mit dem Namen "Fleckpe" auf Google Play, dem wichtigsten Software-Store für Android-Smartphones, entdeckt. Dieser als legale Programme getarnte Virus wurde bereits über 620.000 Mal heruntergeladen und stellt eine ernsthafte Bedrohung für unvorsichtige Menschen auf der ganzen Welt dar.
Wie andere bekannte Android-Viren, z. B. Jocker und Harly, verlangt Fleckpe von Kunden ohne deren Wissen Premium-Dienste. Das Hauptziel der Bedrohungsakteure, die hinter solcher Malware stehen, ist es, von nicht autorisierten Mitgliedschaften zu profitieren, indem sie einen Anteil an den monatlichen oder einmaligen Kosten erhalten, die durch diese Premium-Dienste entstehen. Wenn die Bedrohungsakteure diese Dienste selbst verwalten, behalten sie überraschenderweise das gesamte Geld, was diesen Plan zu einem äußerst erfolgreichen macht.
Obwohl der Virus bereits seit letztem Jahr aktiv ist, hat Kaspersky ihn erst kürzlich entdeckt und registriert. Laut ihrer Datenrecherche leben die meisten Opfer von Fleckpe in Thailand, Malaysia, Indonesien, Singapur und Polen, während die Zahl der Infektionen weltweit geringer ist.
Die Untersuchung von Kaspersky führte zur Entdeckung von 11 Fleckpe-Trojaner-Anwendungen, die sich als Bildbearbeitungsprogramme, Fotobibliotheken, Premium-Hintergrundbilder und andere Dienste auf Google Play ausgaben. Die schädlichen Programme trugen verschiedene Namen, darunter com.impressionism.prozs.app, com.picture.pictureframe, com.beauty.slimming.pro, com.beauty.camera.plus.photoeditor, com.microclip.vodeoeditor, com.gif.camera.editor, com.apps.camera.photos, com.toolbox.photoeditor, com.hd.h4ks.wallpaper, com.draw.graffiti und com.urox.opixe.nightcamreapro. Laut Kaspersky wurden diese Apps jedoch bereits aus dem Marketplace entfernt.
Das bösartige Programm fordert bei der Installation Zugriff auf Benachrichtigungsinhalte und kann so Bestätigungsnummern für die Mitgliedschaft bei Premium-Diensten abgreifen. Wenn die Fleckpe-App gestartet wird, entschlüsselt sie eine versteckte Nutzlast, die bösartigen Code enthält, der dann ausgeführt wird. Diese Nutzlast stellt eine Verbindung zum Command-and-Control-Server (C2) des Bedrohungsakteurs her und überträgt wichtige Informationen über das infizierte Gerät, wie den Mobile Country Code (MCC) und den Mobile Network Code (MNC).
Der C2-Server antwortet mit einer URL-Adresse, die die Malware in ein unsichtbares Webbrowser-Fenster lädt. Das Opfer wird auf diese Weise heimlich bei einem Premium-Dienst angemeldet. Wenn ein Bestätigungscode erforderlich ist, sammelt der Virus diesen sofort aus den Benachrichtigungen des Geräts und fügt ihn auf dem versteckten Bildschirm ein, wodurch der Anmeldevorgang abgeschlossen wird. Um die Benutzer weiter zu täuschen, führt die App weiterhin die beworbenen Funktionen aus, wie z. B. die Bildbearbeitung oder die Installation von Hintergrundbildern, und verschleiert so erfolgreich ihren eigentlichen Zweck und minimiert den Verdacht.
Kaspersky hat festgestellt, dass die Entwickler in den letzten Versionen von Fleckpe den Großteil des Abonnement-Codes von der Nutzlast in die native Bibliothek verlagert haben. Diese Änderung ermöglicht es der Nutzlast, sich auf das Abfangen von Warnmeldungen und die Darstellung von Webseiten zu konzentrieren. Durch die Aufteilung der Aufgaben wird der Virus raffinierter und unauffälliger, was es den Anwendern erschwert, unrechtmäßige Aktivitäten hinter den Kulissen zu erkennen.
Die Quellen für diesen Artikel sind ein Artikel im InfoSecurityMagazine
