Fleckpe s'ha subscrit sense voler a serveis de pagament de més de 620 usuaris a tot el món. Els investigadors de Kaspersky han descobert una nova família de troians dirigits als usuaris de Google Play. Anomenat Fleckpe, seguint un model d'ingressos basat en subscripcions, aquest troià s'estén a través d'aplicacions mòbils disfressades d'editors de fotos i de descàrregues de fons de pantalla, subscrivint-se a serveis de pagament sense el seu coneixement. Des que es va detectar l'any 2022, Fleckpe ha infectat més de 620 dispositius i ha atrapat víctimes a tot el món.
Malgrat totes les precaucions preses, de tant en tant es poden penjar aplicacions malicioses a Google Play Store. El més molest d'ells són els troians basats en subscripcions de grup. Aquests troians que subscriuen les seves víctimes a serveis que mai haurien pensat comprar, sense previ avís, i les víctimes d'estafes no se n'adonen fins que la seva quota de subscripció es reflecteix a les seves factures. Aquest tipus de programari maliciós sovint es troba al mercat oficial d'aplicacions d'Android. Dos exemples descoberts recentment van ser la família Jocker i la família Harly.
L'últim descobriment de Kaspersky en aquesta àrea és la nova família de cavalls de Troia anomenada Fleckpe, que s'estén a través de Google Play imitant editors de fotos, paquets de fons de pantalla i altres aplicacions. Aquest troià, com molts altres, subscriu usuaris desconeguts a serveis de pagament.
Les dades de Kaspersky mostren que el troià recentment descobert està actiu des del 2022. Els investigadors de Kaspersky van trobar que Fleckpe es va instal·lar en més de 11 dispositius mitjançant almenys 620 aplicacions diferents. Tot i que les aplicacions es van retirar del mercat quan es va publicar l'informe de Kaspersky, és possible que els ciberdelinqüents continuïn distribuint aquest programari maliciós a través d'altres fonts. Això vol dir que el nombre real de descàrregues pot ser més gran.
Exemple d'una aplicació de Troia infectada a Google Play:
L'aplicació Fleckpe infectada comença col·locant una biblioteca nativa altament disfressada al dispositiu que conté droppers maliciosos responsables de desxifrar i executar càrregues útils malicioses. Aquesta càrrega útil contacta amb el servidor d'ordres i control dels atacants i transmet informació sobre el dispositiu infectat, inclosos els detalls del país i de l'operador. A continuació, la pàgina de subscripció de pagament es comparteix amb el dispositiu. El troià està iniciant en secret una sessió de navegador web i intenta subscriure's al servei de pagament en nom de l'usuari. Si una subscripció requereix un codi de confirmació, el programari també accedeix a les notificacions del dispositiu i captura el codi de confirmació enviat. Així, el troià fa que els usuaris perdin diners en subscriure's a un servei de pagament contra la seva voluntat. Curiosament, això no afecta la funcionalitat de l'aplicació i els usuaris poden continuar editant fotos o establint fons de pantalla en segon pla sense adonar-se que se'ls cobra per un servei.
Dmitry Kalinin, investigador de Kaspersky Security, va dir:
"Darrerament, els troians basats en subscripcions han guanyat popularitat entre els estafadors. Els ciberdelinqüents que les fan servir cada cop més recorren a mercats oficials com Google Play per difondre programari maliciós. La creixent sofisticació dels troians els permet eludir amb èxit diversos controls anti-malware aplicats pels mercats i romandre sense ser detectats durant llargs períodes de temps. Els usuaris afectats per aquest programari no poden esbrinar com es van subscriure als serveis en qüestió en primer lloc, i no poden descobrir immediatament les subscripcions no desitjades. Tot això fa que els troians basats en subscripció siguin una font fiable d'ingressos il·legals als ulls dels ciberdelinqüents".
Els experts de Kaspersky recomanen als usuaris que evitin la infecció de programari maliciós per subscripció:
"Aneu amb compte amb les aplicacions, incloses les de mercats legítims com Google Play, i controleu quins permisos concedeu a les aplicacions instal·lades. Alguns d'ells poden suposar un risc de seguretat.
Instal·leu programari antivirus al vostre telèfon que pugui detectar aquests troians, com ara Kaspersky Premium.
No instal·leu aplicacions de fonts de tercers ni de llocs piratejats. Tingueu en compte que els atacants són conscients de l'afició de la gent per les coses gratuïtes i treballaran per explotar aquesta situació de qualsevol manera possible.
Si es detecta programari maliciós basat en la subscripció al vostre telèfon, elimineu immediatament l'aplicació infectada del vostre dispositiu o desactiveu-la si ja està instal·lada".