Malware móvil Fleckpe
Se descubrió un nuevo malware basado en suscripción de Android, llamado Fleckpe, en Google Play, la tienda oficial de aplicaciones de Android. El malware se camufla como varias aplicaciones legítimas y hasta ahora ha logrado acumular más de 600 000 descargas. Fleckpe es una de las muchas amenazas de malware de Android que suscriben de manera fraudulenta a los usuarios a servicios premium y generan cargos no autorizados. Los actores de amenazas detrás de dicho malware ganan dinero al recibir una parte de las tarifas de suscripción mensuales o únicas generadas a través de los servicios premium.
Si los mismos actores de amenazas operan los servicios, es probable que se queden con todos los ingresos. El descubrimiento de Fleckpe es el último ejemplo de ciberdelincuentes que explotan la confianza y la popularidad de las tiendas de aplicaciones acreditadas para distribuir software amenazante.
Tabla de contenido
Fleckpe se propaga a través de aplicaciones troyanizadas en Google Play Store
Aunque el troyano Fleckpe ha estado activo durante más de un año, fue descubierto y documentado recientemente. La mayoría de las víctimas de Fleckpe residen en Tailandia, Malasia, Indonesia, Singapur y Polonia, con una menor cantidad de infecciones en todo el mundo.
Hasta el momento, se han descubierto y eliminado de la tienda Google Play 11 aplicaciones diferentes que contienen el malware Fleckpe. Estas aplicaciones se disfrazaron como editores de imágenes, bibliotecas de fotos, fondos de pantalla premium y otros programas aparentemente legítimos. Los nombres de las aplicaciones amenazantes son com.impresionismo. pros.app, com.beauty.camera.plus.editor de fotos, com.beauty.slimming.pro, com.picture.frame frame, com. microchip.vodeoeditor, com.gif.camera.editor, com.apps.camera.photos, com.toolbox.photoeditor, com.hd.h4ks.wallpaper, com.draw.graffiti y com.urox.opixe.nightcamreapro.
Aunque todas estas aplicaciones han sido eliminadas del mercado, es posible que los atacantes puedan crear otras aplicaciones, por lo que el número de instalaciones podría ser superior al que se conoce actualmente.
Fleckpe Malware realiza suscripciones no autorizadas a servicios costosos
Cuando un usuario instala una aplicación Fleckpe, la aplicación solicita acceso al contenido de la notificación. Este acceso es necesario para capturar códigos de confirmación de suscripción en muchos servicios premium. Una vez que se inicia la aplicación, decodifica una carga útil oculta que contiene un código incorrecto. Al ejecutarse, intenta comunicarse con el servidor de comando y control (C2) del actor de amenazas para enviar información básica sobre el dispositivo infectado. Los datos transmitidos incluyen el código de país móvil (MCC) y el código de red móvil (MNC).
En respuesta, el servidor C2 proporciona una dirección de sitio web que el troyano abre en una ventana invisible del navegador web. El malware suscribe a la víctima a un servicio premium sin su conocimiento o consentimiento. Si se requiere un código de confirmación, Fleckpe lo recupera de las notificaciones del dispositivo y lo envía en la pantalla oculta para completar el proceso de suscripción.
A pesar de su nefasto propósito, las aplicaciones de Fleckpe aún brindan su funcionalidad anunciada a la víctima. Esto ayuda a ocultar sus verdaderas intenciones y reduce la probabilidad de levantar sospechas.
Los ciberdelincuentes continúan actualizando el malware Fleckpe para Android
Las versiones más recientes del malware Fleckpe Mobile han sufrido algunos cambios. Los desarrolladores han movido una parte significativa del código que lleva a cabo las suscripciones no autorizadas de la carga útil a la biblioteca nativa. La carga útil ahora se enfoca en interceptar notificaciones y mostrar páginas web.
Además, la última versión de la carga útil incluye una capa de ofuscación. Los investigadores creen que estas modificaciones se hicieron para hacer que Fleckpe sea más difícil de analizar y aumentar su capacidad de evasión.
Si bien es posible que no se considere tan peligroso como el software espía o el malware que roba datos, los troyanos de suscripción aún pueden causar un daño significativo. Pueden generar cargos no autorizados, recopilar información confidencial sobre el usuario y actuar como puntos de entrada para el despliegue de cargas útiles más potentes.
