El malware de suscripción a Android "Fleckpe" aparece en Google Play
Kaspersky Lab ha descubierto un nuevo virus de suscripción para Android conocido como "Fleckpe" en Google Play, la principal tienda de software para smartphones Android. Este virus, disfrazado de programa legal, ha acumulado más de 620.000 descargas, lo que supone una grave amenaza para incautos de todo el mundo.
Fleckpe, al igual que otros conocidos virus para Android como Jocker y Harly, cobra a los clientes por servicios premium sin su conocimiento. El principal objetivo de los actores de amenazas detrás de este tipo de malware es beneficiarse de las afiliaciones no autorizadas obteniendo una parte de los costes mensuales o únicos producidos por estos servicios premium. Sorprendentemente, cuando los propios actores de amenazas gestionan estos servicios, se quedan con la totalidad del dinero, lo que lo convierte en un plan tremendamente exitoso.
A pesar de que el virus lleva activo desde el año pasado, Kaspersky acaba de detectar y registrar su presencia. Según su investigación de datos, la mayor parte de las víctimas de Fleckpe viven en Tailandia, Malasia, Indonesia, Singapur y Polonia, con un número menor de infecciones registradas a nivel mundial.
El estudio de Kaspersky dio como resultado el descubrimiento de 11 aplicaciones troyanas Fleckpe que se hacían pasar por editores de imágenes, fototecas, fondos de pantalla premium y otros servicios en Google Play. Los programas maliciosos tenían distintos nombres, como com.impressionism.prozs.app, com.picture.pictureframe, com.beauty.slimming.pro, com.beauty.camera.plus.photoeditor, com.microclip.vodeoeditor, com.gif.camera.editor, com.apps.camera.photos, com.toolbox.photoeditor, com.hd.h4ks.wallpaper, com.draw.graffiti y com.urox.opixe.nightcamreapro. Sin embargo, estas aplicaciones ya han sido eliminadas del mercado, según Kaspersky.
El programa malicioso solicita acceso al contenido de las notificaciones durante la instalación, lo que le permite hacerse con los números de confirmación de suscripción a servicios premium. Cuando se inicia la aplicación Fleckpe, descodifica una carga oculta que contiene código malicioso, que se ejecuta a continuación. Este payload se conecta al servidor de comando y control (C2) del actor de la amenaza, transmitiendo información vital sobre el dispositivo infectado, como el código de país móvil (MCC) y el código de red móvil (MNC).
El servidor C2 responde con una dirección URL, que el malware carga en una ventana invisible del navegador web. La víctima se inscribe secretamente en un servicio premium como resultado de este enfoque. Si es necesario un código de confirmación, el virus lo recoge inmediatamente de las notificaciones del dispositivo y lo inserta en la pantalla oculta, completando el proceso de suscripción. Para engañar aún más a los usuarios, la aplicación sigue realizando su funcionalidad anunciada, como la edición de imágenes o la instalación de fondos de pantalla, ocultando con éxito su propósito real y minimizando las sospechas.
Kaspersky ha descubierto que los desarrolladores han trasladado la mayor parte del código de suscripción de la carga útil a la biblioteca nativa en versiones recientes de Fleckpe. Este cambio permite que la carga útil se concentre en interceptar alertas y presentar páginas web. Al dividir las tareas, el virus se vuelve más sofisticado y escurridizo, haciendo más difícil que los usuarios identifiquen la actividad ilícita entre bastidores.
Las fuentes de este artículo incluyen un artículo en InfoSecurityMagazine