Un nuevo malware de suscripción de Android llamado Fleckpe ha sido descubierto en Google Play Store, acumulando más de 620,000 descargas en total desde 2022.
Kaspersky, que identificó 11 aplicaciones en la tienda oficial de aplicaciones, dijo que el malware se hacía pasar por aplicaciones legítimas de edición de fotos, cámaras y paquetes de fondos de pantalla para teléfonos inteligentes. Desde entonces, las aplicaciones han sido eliminadas.
La operación se dirige principalmente a usuarios de Tailandia, aunque los datos de telemetría recopilados por la firma rusa de ciberseguridad han revelado víctimas en Polonia, Malasia, Indonesia y Singapur.
Las aplicaciones ofrecen además la funcionalidad prometida para evitar levantar banderas rojas, pero ocultan su verdadero propósito bajo el capó. La lista de las aplicaciones ofensivas es la siguiente:
- Beauty Camera Plus (com.beauty.camera.plus.photoeditor)
- Cámara fotográfica de belleza (com.apps.camera.photos)
- Editor de fotos para adelgazar la belleza (com.beauty.slimming.pro)
- Graffiti con la punta del dedo (com.draw.graffiti)
- Editor de cámara GIF (com.gif.camera.editor)
- Fondo de pantalla HD 4K (com.hd.h4ks.wallpaper)
- Cámara Impressionism Pro (com.impressionism.prozs.app)
- Editor de vídeo Microclip (com.microclip.vodeoeditor)
- Cámara Pro en modo nocturno (com.urox.opixe.nightcamreapro)
- Editor de cámara fotográfica (com.toolbox.photoeditor)
- Editor de efectos fotográficos (com.picture.pictureframe)
«Cuando la aplicación se inicia, carga una biblioteca nativa muy ofuscada que contiene un gotero malicioso que descifra y ejecuta una carga útil de los activos de la aplicación», dijo el investigador de Kaspersky Dmitry Kalinin.
La carga útil, por su parte, está diseñada para ponerse en contacto con un servidor remoto y transmitir información sobre el dispositivo comprometido (por ejemplo, código de país móvil y código de red móvil), después de lo cual el servidor responde con una página de suscripción paga.
Posteriormente, el malware abre la página en una ventana invisible del navegador web e intenta suscribirse en nombre del usuario abusando de sus permisos para acceder a las notificaciones y obtener el código de confirmación necesario para completar el paso.
En una señal de que Fleckpe se está desarrollando activamente, las versiones recientes del malware han movido la mayor parte de la funcionalidad maliciosa a la biblioteca nativa en un intento por evadir la detección de las herramientas de seguridad.
«La carga útil ahora solo intercepta notificaciones y ve páginas web, actuando como un puente entre el código nativo y los componentes de Android necesarios para comprar una suscripción», señaló Kalinin.
«A diferencia de la biblioteca nativa, la carga útil casi no tiene capacidades de evasión, aunque los actores maliciosos agregaron algo de ofuscación de código a la última versión».
Esta no es la primera vez que se encuentra malware de suscripción en Google Play Store. Fleckpe se une a otras familias de lana como Joker (también conocido como Bread o Jocker) y Harly, que suscriben dispositivos infectados a servicios premium no deseados y realizan fraudes de facturación.
Si bien estas aplicaciones no son tan peligrosas como el spyware o los troyanos financieros, aún pueden incurrir en cargos no autorizados y ser reutilizadas por sus operadores para recopilar una amplia gama de información confidencial y servir como puntos de entrada para malware más nefasto.
En todo caso, los hallazgos son otra indicación de que los actores de amenazas continúan descubriendo nuevas formas de colar sus aplicaciones en los mercados oficiales de aplicaciones para escalar sus campañas, lo que requiere que los usuarios tengan cuidado al descargar aplicaciones y otorgarles permisos.
«La creciente complejidad de los troyanos les ha permitido eludir con éxito muchos controles antimalware implementados por los mercados, permaneciendo sin ser detectados durante largos períodos de tiempo», dijo Kalinin.
Fuente: https://thehackernews.com
