В Google Play время от времени попадаются вредоносные приложения, которые на первый взгляд кажутся безобидными.
Среди них есть и очень коварные — например, подписочные троянцы, чью активность пользователи нередко замечают, только когда с них уже списали деньги. Эти троянцы регулярно появляются в официальном магазине Android-приложений. Таким способом распространялось, например, , а также недавно обнаруженное .
Наша новая находка, которую мы назвали Fleckpe, тоже распространяется через Google Play — в составе фоторедакторов, приложений с обоями для телефона и т. д.
Зловред работает следующим образом. При запуске приложения подгружается сильно обфусцированная нативная библиотека, содержащая вредоносный дроппер, который расшифровывает и запускает полезную нагрузку из ресурсов приложения.
Подгрузка вредоносной библиотеки
Полезная нагрузка связывается с командным сервером злоумышленников и отправляет данные о зараженном устройстве — в частности, коды MCC (Mobile Country Code) и MNC (Mobile Network Code), которые позволяют определить, в какой стране находится жертва и каким оператором сотовой связи она пользуется. Командный сервер в ответ отправляет страницу с платной подпиской. Троянец открывает ее и пытается от имени пользователя подписаться на услугу. Если для этого необходимо ввести код подтверждения, зловред перехватывает уведомления, доступ к которым запрашивает в самом начале, и ищет в них подходящий код.
Перехват уведомлений
Заполучив код, троянец подставляет его в нужное поле и завершает оформление подписки. Жертва при этом пользуется легитимными функциями приложения — например, устанавливает обои или редактирует фото — и не знает, что ее подписывают на платные услуги.
Подстановка полученного кода
Троянец постоянно совершенствуется. В последних версиях разработчики решили расширить функциональность нативной библиотеки и включить в нее не только дроппер, но и большую часть кода, при помощи которого оформляются платные подписки. Полезная нагрузка при этом отвечает только за перехват уведомлений и просмотр веб-страниц, то есть выполняет роль «моста» между компонентами операционной системы, необходимыми для оформления платной подписки, и нативным кодом.
Это сделано для того, чтобы значительно усложнить анализ, а также затруднить обнаружение троянца защитными решениями. В отличие от нативной библиотеки, полезная нагрузка практически не защищена от обнаружения, хотя в последней версии злоумышленники добавили незначительную обфускацию кода.
Основная логика в нативном методе
Тестовые MCC и MNC — тайские
Защитные решения «Лаборатории Касперского» детектируют этот зловред как Trojan.AndroidOS.Fleckpe.
Чтобы избежать заражения и последующей потери денег, стоит внимательно относиться к приложениям (даже если они загружены в Google Play): не давать им лишних разрешений и защищать устройства решением, способным выявлять подобных троянцев.
com.impressionism.prozs.app
com.picture.pictureframe
com.beauty.slimming.pro
com.beauty.camera.plus.photoeditor
com.microclip.vodeoeditor
com.gif.camera.editor
com.apps.camera.photos
com.toolbox.photoeditor
com.hd.h4ks.wallpaper
com.draw.graffiti
com.urox.opixe.nightcamreapro
- MD5
- C&C
Среди них есть и очень коварные — например, подписочные троянцы, чью активность пользователи нередко замечают, только когда с них уже списали деньги. Эти троянцы регулярно появляются в официальном магазине Android-приложений. Таким способом распространялось, например, , а также недавно обнаруженное .
Наша новая находка, которую мы назвали Fleckpe, тоже распространяется через Google Play — в составе фоторедакторов, приложений с обоями для телефона и т. д.
Техническое описание Fleckpe
Троянец активен, по нашим данным, с начала 2022 года. Мы нашли в Google Play 11 инфицированных этим зловредом приложений, которые установили пользователи более 620 тысяч устройств. На момент публикации нашего отчета этих приложений в Google Play уже нет. Однако злоумышленники могли выложить другие, пока не обнаруженные, поэтому реальное число установок троянца может быть гораздо больше.Зловред работает следующим образом. При запуске приложения подгружается сильно обфусцированная нативная библиотека, содержащая вредоносный дроппер, который расшифровывает и запускает полезную нагрузку из ресурсов приложения.
Подгрузка вредоносной библиотеки
Полезная нагрузка связывается с командным сервером злоумышленников и отправляет данные о зараженном устройстве — в частности, коды MCC (Mobile Country Code) и MNC (Mobile Network Code), которые позволяют определить, в какой стране находится жертва и каким оператором сотовой связи она пользуется. Командный сервер в ответ отправляет страницу с платной подпиской. Троянец открывает ее и пытается от имени пользователя подписаться на услугу. Если для этого необходимо ввести код подтверждения, зловред перехватывает уведомления, доступ к которым запрашивает в самом начале, и ищет в них подходящий код.
Перехват уведомлений
Заполучив код, троянец подставляет его в нужное поле и завершает оформление подписки. Жертва при этом пользуется легитимными функциями приложения — например, устанавливает обои или редактирует фото — и не знает, что ее подписывают на платные услуги.
Подстановка полученного кода
Троянец постоянно совершенствуется. В последних версиях разработчики решили расширить функциональность нативной библиотеки и включить в нее не только дроппер, но и большую часть кода, при помощи которого оформляются платные подписки. Полезная нагрузка при этом отвечает только за перехват уведомлений и просмотр веб-страниц, то есть выполняет роль «моста» между компонентами операционной системы, необходимыми для оформления платной подписки, и нативным кодом.
Это сделано для того, чтобы значительно усложнить анализ, а также затруднить обнаружение троянца защитными решениями. В отличие от нативной библиотеки, полезная нагрузка практически не защищена от обнаружения, хотя в последней версии злоумышленники добавили незначительную обфускацию кода.
Основная логика в нативном методе
Жертвы
Мы обнаружили в коде троянца зашитые MCC и MNC, которые злоумышленники, судя по всему, использовали для тестов. Коды оказались тайскими, а среди отзывов на зараженные приложения в Google Play преобладали отзывы на тайском языке. Поэтому мы полагаем, что зловред нацелен на пользователей из Таиланда, хотя, по данным нашей телеметрии, есть жертвы и в других странах, в частности в Польше, Малайзии, Индонезии и Сингапуре.Тестовые MCC и MNC — тайские
Защитные решения «Лаборатории Касперского» детектируют этот зловред как Trojan.AndroidOS.Fleckpe.
Заключение
К сожалению, подписочные троянцы в последнее время набирают популярность. Более того, в качестве канала для их распространения злоумышленники все чаще выбирают официальные платформы, такие как Google Play. Растущая сложность зловредов помогает им успешно проходить многочисленные проверки на стороне магазинов приложений и оставаться незамеченными достаточно продолжительное время. При этом пострадавшие пользователи чаще всего далеко не сразу обнаруживают непрошенные подписки, не говоря уже о том, что еще сложнее бывает понять, откуда они взялись. Поэтому такие троянцы дают злоумышленникам надежный источник нелегального дохода.Чтобы избежать заражения и последующей потери денег, стоит внимательно относиться к приложениям (даже если они загружены в Google Play): не давать им лишних разрешений и защищать устройства решением, способным выявлять подобных троянцев.
- IOCs
Имена пакетовcom.impressionism.prozs.app
com.picture.pictureframe
com.beauty.slimming.pro
com.beauty.camera.plus.photoeditor
com.microclip.vodeoeditor
com.gif.camera.editor
com.apps.camera.photos
com.toolbox.photoeditor
com.hd.h4ks.wallpaper
com.draw.graffiti
com.urox.opixe.nightcamreapro
- MD5
- C&C
