Un nouveau malware d’abonnement Android nommé « Fleckpe » a été repéré sur Google Play, la boutique d’applications Android officielle, déguisé en applications légitimes téléchargées plus de 620 000 fois.
Kaspersky révèle que Fleckpe est le plus récent ajout au domaine des logiciels malveillants qui génère des frais non autorisés en abonnant les utilisateurs à des services premium, rejoignant les rangs d’autres logiciels malveillants Android malveillants, tels que Jocker et Harly.
Les acteurs de la menace gagnent de l’argent grâce aux abonnements non autorisés en recevant une part des frais d’abonnement mensuels ou uniques générés par les services premium. Lorsque les acteurs de la menace exploitent les services, ils conservent l’intégralité des revenus.
Les données de Kaspersky suggèrent que le cheval de Troie est actif depuis l’année dernière mais n’a été découvert et documenté que récemment.
La plupart des victimes de Fleckpe résident en Thaïlande, en Malaisie, en Indonésie, à Singapour et en Pologne, mais un plus petit nombre d’infections se trouvent à travers le monde.
Kaspersky a découvert 11 applications de chevaux de Troie Fleckpe se faisant passer pour des éditeurs d’images, des bibliothèques de photos, des fonds d’écran premium et plus encore sur Google Play, distribuées sous les noms suivants :
- com.impressionism.prozs.app
- com.picture.pictureframe
- com.beauty.slimming.pro
- com.beauty.camera.plus.photoeditor
- com.microclip.vodeoeditor
- com.gif.camera.editor
- com.apps.camera.photos
- com.toolbox.photoeditor
- com.hd.h4ks.wallpaper
- com.draw.graffiti
- com.urox.opixe.nightcamreapro
« Toutes les applications avaient été supprimées du marché au moment de la publication de notre rapport, mais les acteurs malveillants pourraient avoir déployé d’autres applications non encore découvertes, de sorte que le nombre réel d’installations pourrait être plus élevé. » explique Kaspersky dans son rapport.
Il est conseillé aux utilisateurs d’Android qui ont déjà installé les applications répertoriées ci-dessus de les supprimer immédiatement et d’exécuter une analyse AV pour déraciner tout reste de code malveillant encore caché dans l’appareil.
Vous abonner en arrière-plan
Lors de l’installation, l’application malveillante demande l’accès au contenu de notification requis pour capturer les codes de confirmation d’abonnement sur de nombreux services premium.
Lorsqu’une application Fleckpe se lance, elle décode une charge utile cachée contenant du code malveillant, qui est ensuite exécutée.
Cette charge utile est chargée de contacter le serveur de commande et de contrôle (C2) de l’auteur de la menace pour envoyer des informations de base sur l’appareil nouvellement infecté, y compris le MCC (Mobile Country Code) et le MNC (Mobile Network Code).
Le C2 répond avec une adresse de site Web que le cheval de Troie ouvre dans une fenêtre de navigateur Web invisible et abonne la victime à un service premium.
Si un code de confirmation doit être saisi, le logiciel malveillant le récupérera dans les notifications de l’appareil et le soumettra sur l’écran masqué pour finaliser l’abonnement.
Le premier plan de l’application offre toujours aux victimes la fonctionnalité promise, cachant leur véritable objectif et réduisant la probabilité d’éveiller les soupçons.
Dans les dernières versions de Fleckpe analysées par Kaspersky, les développeurs ont déplacé la majeure partie du code d’abonnement de la charge utile vers la bibliothèque native, laissant la charge utile responsable de l’interception des notifications et de l’affichage des pages Web.
De plus, une couche d’obscurcissement a été incorporée dans la version la plus récente de la charge utile.
Kaspersky pense que les créateurs du logiciel malveillant ont mis en œuvre ces modifications pour augmenter le caractère évasif de Fleckpe et le rendre plus difficile à analyser.
Bien qu’ils ne soient pas aussi dangereux que les logiciels espions ou les logiciels malveillants voleurs de données, les chevaux de Troie d’abonnement peuvent toujours entraîner des frais non autorisés, collecter des informations sensibles sur l’utilisateur de l’appareil infecté et potentiellement servir de points d’entrée pour des charges utiles plus puissantes.
Pour se protéger contre ces menaces, il est conseillé aux utilisateurs d’Android de ne télécharger que des applications provenant de sources et de développeurs fiables et de prêter attention aux autorisations demandées lors de l’installation.