구글 플레이에서 발견된 안드로이드 구독 악성코드 '플렉페'

2023년 5월 15일 TuxCare 홍보팀

카스퍼스키랩은 안드로이드 스마트폰의 주요 소프트웨어 스토어인 Google Play에서 '플렉페'로 알려진 새로운 안드로이드 구독 바이러스를 발견했습니다. 합법적인 프로그램으로 위장한 이 바이러스는 62만 건 이상의 다운로드를 기록했으며 전 세계의 부주의한 사람들에게 심각한 위협이 되고 있습니다.

Fleckpe는 Jocker 및 Harly와 같은 다른 잘 알려진 Android 바이러스와 마찬가지로 사용자 모르게 프리미엄 서비스 요금을 청구합니다. 이러한 멀웨어를 배후에 둔 위협 행위자의 주요 목표는 이러한 프리미엄 서비스에서 발생하는 월별 또는 일회성 비용의 일부를 확보하여 무단 멤버십으로부터 이익을 얻는 것입니다. 놀랍게도 위협 행위자가 이러한 서비스를 직접 관리하면 수익금 전액을 가져가므로 매우 성공적인 계획이 됩니다.

이 바이러스는 작년부터 활동해 왔지만 카스퍼스키랩은 최근에야 이 바이러스를 발견하고 기록했습니다. 데이터 조사에 따르면 플렉페 피해자의 대부분은 태국, 말레이시아, 인도네시아, 싱가포르, 폴란드에 거주하고 있으며, 전 세계적으로는 감염 건수가 적습니다.

카스퍼스키의 연구 결과 Google Play에서 이미지 편집기, 사진 라이브러리, 프리미엄 월페이퍼 및 기타 서비스로 위장한 11개의 Fleckpe 트로이 목마 애플리케이션이 발견되었습니다. 이 악성 프로그램은 com.impressionism.prozs.app, com.picture.pictureframe, com.beauty.slimming.pro, com.beauty.camera.plus.photoeditor, com.microclip.vodeoeditor, com.gif.camera.editor, com.apps.camera.photos, com.toolbox.photoeditor, com.hd.h4ks.wallpaper, com.draw.graffiti 및 com.urox.opixe.nightcamreapro 등 다양한 이름을 사용했습니다. 그러나 카스퍼스키에 따르면 이러한 앱은 이미 마켓플레이스에서 삭제되었습니다.

이 악성 프로그램은 설치 시 알림 콘텐츠에 대한 액세스 권한을 요청하여 프리미엄 서비스에서 회원 확인 번호를 가져올 수 있도록 합니다. Fleckpe 앱이 시작되면 악성 코드가 포함된 숨겨진 페이로드를 디코딩한 다음 실행합니다. 이 페이로드는 위협 행위자의 명령 및 제어(C2) 서버에 연결하여 모바일 국가 코드(MCC) 및 모바일 네트워크 코드(MNC)와 같은 감염된 디바이스에 대한 중요한 정보를 전송합니다.

C2 서버가 URL 주소로 응답하면 멀웨어가 보이지 않는 웹 브라우저 창에 로드됩니다. 피해자는 이 접근 방식의 결과로 프리미엄 서비스에 몰래 등록하게 됩니다. 확인 코드가 필요한 경우, 바이러스는 즉시 디바이스의 알림에서 코드를 수집하여 숨겨진 화면에 삽입하여 가입 프로세스를 완료합니다. 사용자를 더 속이기 위해 이 앱은 사진 편집 또는 배경 화면 설치와 같은 광고된 기능을 계속 수행하여 실제 목적을 성공적으로 숨기고 의심을 최소화합니다.

카스퍼스키랩은 개발자들이 최근 버전의 플렉페에서 대부분의 구독 코드를 페이로드에서 네이티브 라이브러리로 옮긴 것을 발견했습니다. 이러한 변경을 통해 페이로드는 경고를 가로채고 웹 페이지를 표시하는 데 집중할 수 있습니다. 임무를 분담함으로써 바이러스는 더욱 정교하고 애매해져 사용자가 배후에서 불법적인 활동을 식별하기가 더 어려워집니다.

이 글의 출처는 InfoSecurityMagazine의 기사를 포함합니다.

요약