Um novo malware de assinatura do Android chamado Fleckpe foi descoberto na Google Play Store, acumulando mais de 620.000 downloads desde 2022.
A Kaspersky, que identificou 11 aplicativos na loja oficial de aplicativos, disse que o malware se disfarçava como aplicativos legítimos de edição de fotos, câmera e pacotes de papel de parede para smartphones.
Os aplicativos foram retirados do ar desde então.
A operação tem como alvo principalmente usuários da Tailândia, embora os dados de telemetria coletados pela empresa de segurança cibernética russa tenham revelado vítimas na Polônia, Malásia, Indonésia e Cingapura.
Os aplicativos oferecem a funcionalidade prometida para evitar levantar suspeitas, mas escondem seu verdadeiro propósito.
A lista dos aplicativos maliciosos é a seguinte:
Beauty Camera Plus
Beauty Photo Camera
Beauty Slimming Photo Editor
Fingertip Graffiti
GIF Camera Editor
HD 4K Wallpaper
Impressionism Pro Camera
Microclip Video Editor
Night Mode Camera Pro
Photo Camera Editor
Photo Effect Editor
"Quando o aplicativo é iniciado, ele carrega uma biblioteca nativa fortemente ofuscada contendo um dropper malicioso que descriptografa e executa um payload dos assets do aplicativo", disse o pesquisador da Kaspersky, Dmitry Kalinin.
O payload, por sua vez, é projetada para entrar em contato com um servidor remoto e transmitir informações sobre o dispositivo comprometido (por exemplo, Código de País Móvel e Código de Rede Móvel), após o qual o servidor responde com uma página de assinatura paga.
O malware subsequente abre a página em uma janela de navegador da web invisível e tenta se inscrever em nome do usuário, abusando de suas permissões para acessar notificações e obter o código de confirmação necessário para concluir a etapa.
Em um sinal de que o Fleckpe está sendo ativamente desenvolvido, as versões recentes do malware moveram a maior parte da funcionalidade maliciosa para a biblioteca nativa na tentativa de evitar a detecção por ferramentas de segurança.
"O payload agora apenas intercepta notificações e visualiza páginas da web, atuando como uma ponte entre o código nativo e os componentes do Android necessários para comprar uma assinatura", observou Kalinin.
"Ao contrário da biblioteca nativa, a payload tem poucas capacidades de evasão, embora os atores maliciosos tenham adicionado alguma ofuscação de código à versão mais recente."
Não é a primeira vez que um malware de assinatura é encontrado na Google Play Store.
O Fleckpe se junta a outras famílias de fleeceware como Joker (também conhecido como Bread ou Jocker) e Harly, que assinam dispositivos infectados em serviços premium indesejados e realizam fraudes de faturamento.
Embora tais aplicativos não sejam tão perigosos quanto spyware ou cavalos de Troia financeiros, eles ainda podem incorrer em cobranças não autorizadas e serem reaproveitados por seus operadores para coletar uma ampla gama de informações sensíveis e servir como pontos de entrada para malwares mais nefastos.
Se algo, as descobertas são mais uma indicação de que os atores de ameaças continuam a descobrir novas maneiras de colocar seus aplicativos em lojas oficiais de aplicativos para escalar suas campanhas, exigindo que os usuários exerçam cautela ao baixar aplicativos e conceder permissões a eles.
"A crescente complexidade dos Trojans permitiu que eles superassem com sucesso muitas verificações antivírus implementadas pelas lojas, permanecendo indetectáveis por longos períodos de tempo", disse Kalinin.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...