Google Play に 60 万回インストールされた新しい Android マルウェア Fleckpe

「Fleckpe」という名前の新しい Android サブスクリプションマルウェアが、620,000 回以上ダウンロードされた正規のアプリを装った、公式の Android アプリストアである Google Play で発見されました。

Kaspersky は、Fleckpe が、 JockerやHarlyなどの他の悪意のある Android マルウェアの仲間入りをして、ユーザーをプレミアムサービスに登録することで不正な料金を発生させるマルウェアの領域に新たに追加されたことを明らかにしました。

攻撃者は、プレミアムサービスを通じて生成された月額または 1 回限りのサブスクリプション料金の一部を受け取ることで、無許可のサブスクリプションから収益を得ています。攻撃者がサービスを運用するとき、彼らは収益全体を維持します。

Kaspersky のデータは、このトロイの木馬が昨年から活動していたことを示唆していますが、発見され文書化されたのは最近のことです。

Fleckpe の被害者のほとんどは、タイ、マレーシア、インドネシア、シンガポール、ポーランドに住んでいますが、世界中で少数の感染が見られます。

Kaspersky は、画像エディタ、フォトライブラリ、プレミアム壁紙などを偽装する 11 個の Fleckpe トロイの木馬アプリを Google Play で発見しました。これらは次の名前で配布されています。

「私たちのレポートが公開されるまでに、すべてのアプリは市場から削除されていましたが、悪意のある攻撃者がまだ発見されていない他のアプリを展開した可能性があるため、実際のインストール数はもっと多い可能性があります。」はレポートで Kaspersky を説明しています。

上記のアプリを以前にインストールしたことのある Android ユーザーは、すぐにそれらを削除し、AV スキャンを実行して、デバイスにまだ隠されている悪意のあるコードの残骸を根絶することをお勧めします。

バックグラウンドであなたを購読しています

インストール時に、悪意のあるアプリは、多くのプレミアムサービスでサブスクリプション確認コードを取得するために必要な通知コンテンツへのアクセスを要求します。

Fleckpe アプリが起動すると、悪意のあるコードを含む隠しペイロードをデコードし、実行します。

このペイロードは、攻撃者のコマンドアンドコントロール (C2) サーバーに接続して、新たに感染したデバイスに関する基本情報 (MCC (モバイルカントリーコード) や MNC (モバイルネットワークコード) など) を送信します。

C2 は、トロイの木馬が目に見えない Web ブラウザウィンドウで開く Web サイトアドレスで応答し、被害者をプレミアムサービスに登録します。

確認コードを入力する必要がある場合、マルウェアはデバイスの通知からそれを取得し、非表示の画面に送信してサブスクリプションを確定します。

アプリのフォアグラウンドは依然として被害者に約束された機能を提供し、被害者の本当の目的を隠し、疑惑を提起する可能性を減らします.

Kaspersky が分析した最新バージョンの Fleckpe では、開発者はほとんどのサブスクリプションコードをペイロードからネイティブライブラリに移行し、通知の傍受と Web ページの表示はペイロードに任せています。

さらに、難読化のレイヤーが最新のペイロードバージョンに組み込まれています。

Kaspersky は、マルウェアの作成者がこれらの変更を実装して、Fleckpe の回避性を高め、分析をより困難にしたと考えています。

スパイウェアやデータを盗むマルウェアほど危険ではありませんが、サブスクリプション型トロイの木馬は不正な料金を請求したり、感染したデバイスのユーザーに関する機密情報を収集したり、より強力なペイロードのエントリポイントとして機能したりする可能性があります。

これらの脅威から保護するために、Android ユーザーは、信頼できるソースと開発者からのみアプリをダウンロードし、インストール中に要求されたアクセス許可に注意を払うことをお勧めします。