Fleckpe si è inconsapevolmente abbonato ai servizi a pagamento di oltre 620 utenti in tutto il mondo. I ricercatori di Kaspersky hanno scoperto una nuova famiglia di trojan destinati agli utenti di Google Play. Chiamato Fleckpe, seguendo un modello di entrate basato su abbonamento, questo Trojan si diffonde attraverso app mobili mascherate da editor di foto e downloader di sfondi, abbonandosi a servizi a pagamento a loro insaputa. Da quando è stato rilevato nel 2022, Fleckpe ha infettato più di 620 dispositivi e intrappolato vittime in tutto il mondo.
Nonostante tutte le precauzioni prese, di tanto in tanto è possibile caricare applicazioni dannose su Google Play Store. I più fastidiosi di questi sono i trojan basati su abbonamento di gruppo. Questi trojan iscrivono le loro vittime a servizi che non avrebbero mai pensato di acquistare, senza preavviso, e le vittime di truffe non se ne rendono conto fino a quando la loro quota di abbonamento non viene riflessa nelle loro fatture. Questo tipo di malware si trova spesso nel mercato ufficiale delle app Android. Due esempi scoperti di recente sono stati la famiglia Jocker e la famiglia Harly.
L'ultima scoperta di Kaspersky in quest'area è la nuova famiglia di cavalli di Troia chiamata Fleckpe, che si diffonde tramite Google Play imitando editor di foto, pacchetti di sfondi e altre applicazioni. Questo trojan, come molti altri, iscrive utenti ignari a servizi a pagamento.
I dati di Kaspersky mostrano che il trojan appena scoperto è attivo dal 2022. I ricercatori di Kaspersky hanno scoperto che Fleckpe è stato installato su più di 11 dispositivi attraverso almeno 620 diverse applicazioni. Sebbene le applicazioni siano state rimosse dal mercato quando è stato pubblicato il rapporto Kaspersky, è possibile che i criminali informatici continuino a distribuire questo malware attraverso altre fonti. Ciò significa che il numero effettivo di download potrebbe essere più elevato.
Esempio di un'app infetta da trojan su Google Play:
L'applicazione Fleckpe infetta inizia posizionando una libreria nativa altamente camuffata sul dispositivo che contiene dropper dannosi responsabili della decrittazione e dell'esecuzione di payload dannosi. Questo payload contatta il server di comando e controllo degli aggressori e trasmette informazioni sul dispositivo infetto, inclusi i dettagli del paese e dell'operatore. Quindi la pagina dell'abbonamento a pagamento viene condivisa con il dispositivo. Il trojan avvia segretamente una sessione del browser Web e tenta di abbonarsi al servizio a pagamento per conto dell'utente. Se un abbonamento richiede un codice di conferma, il software accede anche alle notifiche del dispositivo e acquisisce il codice di conferma inviato. Pertanto, il Trojan fa perdere denaro agli utenti abbonandosi a un servizio a pagamento contro la loro volontà. È interessante notare che ciò non influisce sulla funzionalità dell'app e gli utenti possono continuare a modificare foto o impostare sfondi in background senza rendersi conto che gli viene addebitato un servizio.
Il ricercatore sulla sicurezza di Kaspersky, Dmitry Kalinin, ha dichiarato:
“Ultimamente i trojan basati su abbonamento stanno guadagnando popolarità tra i truffatori. I criminali informatici che li utilizzano si rivolgono sempre più a mercati ufficiali come Google Play per diffondere malware. La crescente sofisticazione dei trojan consente loro di eludere con successo vari controlli anti-malware applicati dai mercati e di non essere rilevati per lunghi periodi di tempo. Gli utenti interessati da questi software non sono in grado di scoprire in primo luogo come si sono abbonati ai servizi in questione e non possono scoprire immediatamente gli abbonamenti indesiderati. Tutto ciò rende i trojan basati su abbonamento una fonte affidabile di entrate illegali agli occhi dei criminali informatici”.
Gli esperti di Kaspersky raccomandano agli utenti di evitare l'infezione da malware basata su abbonamento:
“Fai attenzione con le app, comprese quelle provenienti da mercati legittimi come Google Play, e controlla quali autorizzazioni concedi alle app installate. Alcuni di questi possono rappresentare un rischio per la sicurezza.
Installa un software antivirus sul tuo telefono in grado di rilevare tali trojan, come Kaspersky Premium.
Non installare app da fonti di terze parti o siti piratati. Tieni presente che gli aggressori sono consapevoli della predilezione delle persone per le cose gratuite e lavoreranno per sfruttare questa situazione in ogni modo possibile.
Se sul tuo telefono viene rilevato malware basato su abbonamento, rimuovi immediatamente l'app infetta dal tuo dispositivo o disabilitala se è già installata.