Malware Fleckpe para Android se infiltra na Google Play Store com mais de 620.000 downloads
5 de Maio de 2023

Um novo malware de assinatura do Android chamado Fleckpe foi descoberto na Google Play Store, acumulando mais de 620.000 downloads desde 2022.

A Kaspersky, que identificou 11 aplicativos na loja oficial de aplicativos, disse que o malware se disfarçava como aplicativos legítimos de edição de fotos, câmera e pacotes de papel de parede para smartphones.

Os aplicativos foram retirados do ar desde então.

A operação tem como alvo principalmente usuários da Tailândia, embora os dados de telemetria coletados pela empresa de segurança cibernética russa tenham revelado vítimas na Polônia, Malásia, Indonésia e Cingapura.

Os aplicativos oferecem a funcionalidade prometida para evitar levantar suspeitas, mas escondem seu verdadeiro propósito.

A lista dos aplicativos maliciosos é a seguinte:

Beauty Camera Plus

Beauty Photo Camera

Beauty Slimming Photo Editor

Fingertip Graffiti

GIF Camera Editor

HD 4K Wallpaper

Impressionism Pro Camera

Microclip Video Editor

Night Mode Camera Pro

Photo Camera Editor

Photo Effect Editor

"Quando o aplicativo é iniciado, ele carrega uma biblioteca nativa fortemente ofuscada contendo um dropper malicioso que descriptografa e executa um payload dos assets do aplicativo", disse o pesquisador da Kaspersky, Dmitry Kalinin.

O payload, por sua vez, é projetada para entrar em contato com um servidor remoto e transmitir informações sobre o dispositivo comprometido (por exemplo, Código de País Móvel e Código de Rede Móvel), após o qual o servidor responde com uma página de assinatura paga.

O malware subsequente abre a página em uma janela de navegador da web invisível e tenta se inscrever em nome do usuário, abusando de suas permissões para acessar notificações e obter o código de confirmação necessário para concluir a etapa.

Em um sinal de que o Fleckpe está sendo ativamente desenvolvido, as versões recentes do malware moveram a maior parte da funcionalidade maliciosa para a biblioteca nativa na tentativa de evitar a detecção por ferramentas de segurança.

"O payload agora apenas intercepta notificações e visualiza páginas da web, atuando como uma ponte entre o código nativo e os componentes do Android necessários para comprar uma assinatura", observou Kalinin.

"Ao contrário da biblioteca nativa, a payload tem poucas capacidades de evasão, embora os atores maliciosos tenham adicionado alguma ofuscação de código à versão mais recente."

Não é a primeira vez que um malware de assinatura é encontrado na Google Play Store.

O Fleckpe se junta a outras famílias de fleeceware como Joker (também conhecido como Bread ou Jocker) e Harly, que assinam dispositivos infectados em serviços premium indesejados e realizam fraudes de faturamento.

Embora tais aplicativos não sejam tão perigosos quanto spyware ou cavalos de Troia financeiros, eles ainda podem incorrer em cobranças não autorizadas e serem reaproveitados por seus operadores para coletar uma ampla gama de informações sensíveis e servir como pontos de entrada para malwares mais nefastos.

Se algo, as descobertas são mais uma indicação de que os atores de ameaças continuam a descobrir novas maneiras de colocar seus aplicativos em lojas oficiais de aplicativos para escalar suas campanhas, exigindo que os usuários exerçam cautela ao baixar aplicativos e conceder permissões a eles.

"A crescente complexidade dos Trojans permitiu que eles superassem com sucesso muitas verificações antivírus implementadas pelas lojas, permanecendo indetectáveis ​​por longos períodos de tempo", disse Kalinin.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...