Fleckpe Trojan IOCs - SEC-1275-1

По данным Kaspersky Lab, троян действует с 2022 года. Kaspersky обнаружили одиннадцать зараженных Fleckpe приложений в Google Play, которые были установлены на более чем 620 000 устройств. К моменту публикации отчета все эти приложения были удалены, но злоумышленники могли установить и другие, пока еще не обнаруженные приложения, поэтому реальное число установок может быть больше.

Содержание

Fleckpe Trojan

Когда приложение запускается, оно загружает сильно обфусцированную нативную библиотеку, содержащую вредоносный дроппер, который расшифровывает и запускает полезную нагрузку из активов приложения.

Полезная нагрузка связывается с C&C-сервером угрожающих субъектов, отправляя информацию о зараженном устройстве, такую как MCC (Mobile Country Code) и MNC (Mobile Network Code), которые могут быть использованы для идентификации страны и оператора связи жертвы. C&C-сервер возвращает страницу платной подписки. Троянец открывает страницу в невидимом веб-браузере и пытается оформить подписку от имени пользователя. Если для этого требуется код подтверждения, вредоносная программа получает его из уведомлений (доступ к которым был запрошен при первом запуске).

Найдя код, троянец вводит его в соответствующее поле и завершает процесс подписки. Жертва продолжает пользоваться законными функциями приложения, например, устанавливает обои или редактирует фотографии, не подозревая о том, что подписана на платную услугу.

Троян продолжает развиваться. В последних версиях его создатели усовершенствовали нативную библиотеку, переместив туда большую часть кода подписки. Теперь полезная нагрузка только перехватывает уведомления и просматривает веб-страницы, выступая в роли моста между нативным кодом и компонентами Android, необходимыми для приобретения подписки. Это было сделано для того, чтобы значительно усложнить анализ и затруднить обнаружение вредоносной программы с помощью инструментов безопасности. В отличие от нативную библиотеки, полезная нагрузка практически не имеет возможностей для уклонения, хотя злоумышленники и добавили в последнюю версию некоторую обфускацию кода.

Kaspersky Lab обнаружили, что троянец содержит жестко закодированные тайские значения MCC и MNC, которые, очевидно, использовались для тестирования. В отзывах на зараженные приложения в Google Play преобладали тайскоязычные пользователи. Это навело нас на мысль, что данная вредоносная программа нацелена на пользователей из Таиланда, хотя наша телеметрия показала, что жертвы были в Польше, Малайзии, Индонезии и Сингапуре.

Indicators of Compromise

URLs

http://54.245.21.104
http://a.hdmodecam.live
http://ac.iprocam.xyz
http://ad.iprocam.xyz
http://ae.mveditor.xyz
http://ap.iprocam.xyz
http://api.odskguo.xyz
http://b.hdmodecam.live
http://b7.photoeffect.xyz
http://b8c.mveditor.xyz
http://ba.beautycam.xyz
http://ba3.photoeffect.xyz
http://d3.mveditor.xyz
http://f0.photoeffect.xyz
http://f6.beautycam.xyz
http://f8a.beautycam.xyz
http://fa.gifcam.xyz
http://fb.gifcam.xyz
http://fl.gifcam.xyz
http://gbcf.odskguo.xyz
http://l.hdmodecam.live
http://m11.slimedit.live
http://m12.slimedit.live
http://m13.slimedit.live
http://t1.twmills.xyz
http://t2.twmills.xyz
http://t3.twmills.xyz
http://track.odskguo.xyz
http://vd.toobox.online
http://ve.toobox.online
http://vt.toobox.online

MD5

063093eb8f8748c126a6ad3e31c9e6fe
0beec878ff2645778472b97c1f8b4113
101500cd421566690744558af3f0b8cc
175c59c0f9fab032dde32c7d5beede11
1879c233599e7f2634ef8d5041001d40
2b6b1f7b220c69d37a413b0c448aa56a
37162c08587f5c3009afceec3efa43eb
3d0a18503c4ef830e2d3fbe43ecbe811
40c451061507d996c0ab8a233bd99ff8
5ce7d0a72b1bd805c79c5fe3a48e66c2
7f391b24d83cee69672618105f8167e1
8095c11e404a3e701e13a6220d0623b9
aa1cec619bf65972d220904130aed3d9
b66d77370f522c6d640c54da2d11735e
bdbbf20b3866c781f7f9d4f1c2b5f2d3
c5dd2ea5b1a292129d4ecfbeb09343c4
d39b472b0974df19e5efbda4c629e4d5
dd16bd0cb8f30b2f6daac91af4d350be
e92ff47d733e2e964106edc06f6b758a
ecdc4606901abd9bb0b160197efe39b7
f3ecf39bb0296ac37c7f35ee4c6eddbc
f671a685fc47b83488871ae41a52bf4c