Support technique
Documentation
Connexion
Nous contacter
Le logiciel malveillant d'abonnement à Android "Fleckpe" découvert sur Google Play
Le 15 mai 2023 - L'équipe de relations publiques de TuxCare
Kaspersky Lab a découvert un nouveau virus d'abonnement Android connu sous le nom de "Fleckpe" sur Google Play, le principal magasin de logiciels pour les smartphones Android. Ce virus, déguisé en programme légal, a été téléchargé plus de 620 000 fois et représente une menace sérieuse pour les personnes non averties du monde entier.
Fleckpe, comme d'autres virus Android bien connus tels que Jocker et Harly, fait payer aux clients des services premium à leur insu. L'objectif principal des acteurs de la menace derrière ces logiciels malveillants est de tirer profit des adhésions non autorisées en obtenant une part des coûts mensuels ou uniques générés par ces services premium. Étonnamment, lorsque les acteurs de la menace gèrent eux-mêmes ces services, ils conservent l'intégralité de l'argent, ce qui en fait un plan extrêmement fructueux.
Bien que le virus soit actif depuis l'année dernière, Kaspersky n'a découvert et enregistré sa présence que récemment. D'après ses recherches, la plupart des victimes de Fleckpe vivent en Thaïlande, en Malaisie, en Indonésie, à Singapour et en Pologne, le nombre d'infections enregistrées au niveau mondial étant plus faible.
L'étude de Kaspersky a permis de découvrir 11 applications trojan Fleckpe se faisant passer pour des éditeurs d'images, des bibliothèques de photos, des fonds d'écran de qualité supérieure et d'autres services sur Google Play. Les programmes malveillants portaient différents noms, notamment com.impressionism.prozs.app, com.picture.pictureframe, com.beauty.slimming.pro, com.beauty.camera.plus.photoeditor, com.microclip.vodeoeditor, com.gif.camera.editor, com.apps.camera.photos, com.toolbox.photoeditor, com.hd.h4ks.wallpaper, com.draw.graffiti, et com.urox.opixe.nightcamreapro. Toutefois, ces applications ont déjà été retirées de la place de marché, selon Kaspersky.
Le programme malveillant demande l'accès au contenu des notifications lors de l'installation, ce qui lui permet de s'emparer des numéros de confirmation d'adhésion à des services premium. Lorsque l'application Fleckpe est lancée, elle décode une charge utile dissimulée contenant un code malveillant, qui est ensuite exécuté. Cette charge utile se connecte au serveur de commande et de contrôle (C2) de l'acteur de la menace, transmettant des informations vitales sur l'appareil infecté, telles que le code du pays mobile (MCC) et le code du réseau mobile (MNC).
Le serveur C2 répond par une adresse URL, que le logiciel malveillant charge dans une fenêtre de navigateur web invisible. Grâce à cette approche, la victime est secrètement inscrite à un service premium. Si un code de confirmation est nécessaire, le virus le collecte immédiatement à partir des notifications de l'appareil et l'insère sur l'écran caché, complétant ainsi le processus d'abonnement. Pour tromper davantage les utilisateurs, l'application continue d'exécuter les fonctionnalités annoncées, telles que l'édition d'images ou l'installation d'un fond d'écran, dissimulant ainsi son objectif réel et minimisant les soupçons.
Kaspersky a découvert que les développeurs ont déplacé la majorité du code d'abonnement de la charge utile vers la bibliothèque native dans les versions récentes de Fleckpe. Ce changement permet à la charge utile de se concentrer sur l'interception des alertes et la présentation de pages web. En divisant les tâches, le virus devient plus sophistiqué et plus insaisissable, ce qui rend plus difficile pour les utilisateurs d'identifier les activités illégales qui se déroulent en coulisses.
Les sources de cet article comprennent un article paru dans InfoSecurityMagazine
