Fleckpe heeft zich onbewust geabonneerd op betaalde diensten van meer dan 620 gebruikers over de hele wereld. Onderzoekers van Kaspersky hebben een nieuwe familie van Trojaanse paarden ontdekt die zich richten op Google Play-gebruikers. Deze trojan, genaamd Fleckpe, volgt een op abonnementen gebaseerd verdienmodel en verspreidt zich via mobiele apps die zich voordoen als foto-editors en wallpaper-downloaders, en abonneert zich op betaalde services zonder hun medeweten. Sinds de ontdekking in 2022 heeft Fleckpe meer dan 620 apparaten geïnfecteerd en slachtoffers over de hele wereld in de val gelokt.
Ondanks alle genomen voorzorgsmaatregelen kunnen er van tijd tot tijd kwaadaardige applicaties worden geüpload naar de Google Play Store. De meest irritante hiervan zijn de trojans op basis van groepsabonnementen. Deze Trojaanse paarden abonneren hun slachtoffers op diensten die ze nooit zouden hebben gekocht, zonder voorafgaande kennisgeving, en slachtoffers van oplichting beseffen het pas als hun abonnementsgeld wordt weerspiegeld in hun rekeningen. Dit type malware bevindt zich vaak op de officiële markt voor Android-apps. Twee recent ontdekte voorbeelden hiervan waren de familie Jocker en de familie Harly.
Kaspersky's nieuwste ontdekking op dit gebied is de nieuwe familie van Trojaanse paarden genaamd Fleckpe, die zich via Google Play verspreidt door foto-editors, wallpaper-pakketten en andere applicaties te imiteren. Deze trojan abonneert zich, net als vele andere, onwetende gebruikers op betaalde diensten.
Uit gegevens van Kaspersky blijkt dat de nieuw ontdekte trojan sinds 2022 actief is. Onderzoekers van Kaspersky ontdekten dat Fleckpe op meer dan 11 apparaten was geïnstalleerd via ten minste 620 verschillende applicaties. Hoewel de applicaties van de markt werden gehaald toen het Kaspersky-rapport werd gepubliceerd, is het mogelijk dat cybercriminelen deze malware via andere bronnen blijven verspreiden. Dit betekent dat het werkelijke aantal downloads hoger kan zijn.
Voorbeeld van een met Trojaans paard geïnfecteerde app op Google Play:
De geïnfecteerde Fleckpe-applicatie begint met het plaatsen van een zeer vermomde native bibliotheek op het apparaat die kwaadaardige droppers bevat die verantwoordelijk zijn voor het decoderen en uitvoeren van kwaadaardige payloads. Deze payload maakt contact met de commando- en controleserver van de aanvaller en verzendt informatie over het geïnfecteerde apparaat, inclusief land- en operatorgegevens. Vervolgens wordt de betaalde abonnementspagina gedeeld met het apparaat. De Trojan start in het geheim een webbrowsersessie en probeert zich namens de gebruiker te abonneren op de betaalde dienst. Als een abonnement een bevestigingscode vereist, heeft de software ook toegang tot de meldingen van het apparaat en legt de verzonden bevestigingscode vast. De trojan zorgt er dus voor dat gebruikers geld verliezen door zich tegen hun wil te abonneren op een betaalde dienst. Interessant genoeg heeft dit geen invloed op de functionaliteit van de app en kunnen gebruikers foto's blijven bewerken of achtergronden op de achtergrond instellen zonder te beseffen dat er kosten in rekening worden gebracht voor een dienst.
Kaspersky Security-onderzoeker Dmitry Kalinin zei:
“Op abonnementen gebaseerde Trojaanse paarden winnen de laatste tijd aan populariteit onder oplichters. Cybercriminelen die ze gebruiken, wenden zich steeds vaker tot officiële markten zoals Google Play om malware te verspreiden. Door de toenemende verfijning van Trojaanse paarden kunnen ze met succes verschillende antimalwarecontroles die door marktplaatsen worden afgedwongen, omzeilen en lange tijd onopgemerkt blijven. Gebruikers die door deze software worden getroffen, kunnen niet achterhalen hoe ze zich in de eerste plaats op de betreffende services hebben geabonneerd, en ze kunnen de ongewenste abonnementen niet onmiddellijk ontdekken. Dit alles maakt op abonnementen gebaseerde Trojaanse paarden een betrouwbare bron van illegale inkomsten in de ogen van cybercriminelen.”
Experts van Kaspersky raden gebruikers aan om op abonnementen gebaseerde malware-infecties te vermijden:
“Wees voorzichtig met apps, ook die van legitieme markten zoals Google Play, en bepaal welke machtigingen u verleent aan geïnstalleerde apps. Sommige hiervan kunnen een veiligheidsrisico vormen.
Installeer antivirussoftware op uw telefoon die dergelijke Trojaanse paarden kan detecteren, zoals Kaspersky Premium.
Installeer geen apps van externe bronnen of illegale sites. Houd er rekening mee dat aanvallers zich bewust zijn van de voorliefde van mensen voor gratis spullen en zullen proberen deze situatie op alle mogelijke manieren uit te buiten.
Als op abonnementen gebaseerde malware wordt gedetecteerd op uw telefoon, verwijdert u de geïnfecteerde app onmiddellijk van uw apparaat of schakelt u deze uit als deze vooraf is geïnstalleerd.