По данным Kaspersky Lab, троян действует с 2022 года. Kaspersky обнаружили одиннадцать зараженных Fleckpe приложений в Google Play, которые были установлены на более чем 620 000 устройств. К моменту публикации отчета все эти приложения были удалены, но злоумышленники могли установить и другие, пока еще не обнаруженные приложения, поэтому реальное число установок может быть больше.
Fleckpe Trojan
Когда приложение запускается, оно загружает сильно обфусцированную нативную библиотеку, содержащую вредоносный дроппер, который расшифровывает и запускает полезную нагрузку из активов приложения.
Полезная нагрузка связывается с C&C-сервером угрожающих субъектов, отправляя информацию о зараженном устройстве, такую как MCC (Mobile Country Code) и MNC (Mobile Network Code), которые могут быть использованы для идентификации страны и оператора связи жертвы. C&C-сервер возвращает страницу платной подписки. Троянец открывает страницу в невидимом веб-браузере и пытается оформить подписку от имени пользователя. Если для этого требуется код подтверждения, вредоносная программа получает его из уведомлений (доступ к которым был запрошен при первом запуске).
Найдя код, троянец вводит его в соответствующее поле и завершает процесс подписки. Жертва продолжает пользоваться законными функциями приложения, например, устанавливает обои или редактирует фотографии, не подозревая о том, что подписана на платную услугу.
Троян продолжает развиваться. В последних версиях его создатели усовершенствовали нативную библиотеку, переместив туда большую часть кода подписки. Теперь полезная нагрузка только перехватывает уведомления и просматривает веб-страницы, выступая в роли моста между нативным кодом и компонентами Android, необходимыми для приобретения подписки. Это было сделано для того, чтобы значительно усложнить анализ и затруднить обнаружение вредоносной программы с помощью инструментов безопасности. В отличие от нативную библиотеки, полезная нагрузка практически не имеет возможностей для уклонения, хотя злоумышленники и добавили в последнюю версию некоторую обфускацию кода.
Kaspersky Lab обнаружили, что троянец содержит жестко закодированные тайские значения MCC и MNC, которые, очевидно, использовались для тестирования. В отзывах на зараженные приложения в Google Play преобладали тайскоязычные пользователи. Это навело нас на мысль, что данная вредоносная программа нацелена на пользователей из Таиланда, хотя наша телеметрия показала, что жертвы были в Польше, Малайзии, Индонезии и Сингапуре.
Indicators of Compromise
URLs
- http://54.245.21.104
- http://a.hdmodecam.live
- http://ac.iprocam.xyz
- http://ad.iprocam.xyz
- http://ae.mveditor.xyz
- http://ap.iprocam.xyz
- http://api.odskguo.xyz
- http://b.hdmodecam.live
- http://b7.photoeffect.xyz
- http://b8c.mveditor.xyz
- http://ba.beautycam.xyz
- http://ba3.photoeffect.xyz
- http://d3.mveditor.xyz
- http://f0.photoeffect.xyz
- http://f6.beautycam.xyz
- http://f8a.beautycam.xyz
- http://fa.gifcam.xyz
- http://fb.gifcam.xyz
- http://fl.gifcam.xyz
- http://gbcf.odskguo.xyz
- http://l.hdmodecam.live
- http://m11.slimedit.live
- http://m12.slimedit.live
- http://m13.slimedit.live
- http://t1.twmills.xyz
- http://t2.twmills.xyz
- http://t3.twmills.xyz
- http://track.odskguo.xyz
- http://vd.toobox.online
- http://ve.toobox.online
- http://vt.toobox.online
MD5
- 063093eb8f8748c126a6ad3e31c9e6fe
- 0beec878ff2645778472b97c1f8b4113
- 101500cd421566690744558af3f0b8cc
- 175c59c0f9fab032dde32c7d5beede11
- 1879c233599e7f2634ef8d5041001d40
- 2b6b1f7b220c69d37a413b0c448aa56a
- 37162c08587f5c3009afceec3efa43eb
- 3d0a18503c4ef830e2d3fbe43ecbe811
- 40c451061507d996c0ab8a233bd99ff8
- 5ce7d0a72b1bd805c79c5fe3a48e66c2
- 7f391b24d83cee69672618105f8167e1
- 8095c11e404a3e701e13a6220d0623b9
- aa1cec619bf65972d220904130aed3d9
- b66d77370f522c6d640c54da2d11735e
- bdbbf20b3866c781f7f9d4f1c2b5f2d3
- c5dd2ea5b1a292129d4ecfbeb09343c4
- d39b472b0974df19e5efbda4c629e4d5
- dd16bd0cb8f30b2f6daac91af4d350be
- e92ff47d733e2e964106edc06f6b758a
- ecdc4606901abd9bb0b160197efe39b7
- f3ecf39bb0296ac37c7f35ee4c6eddbc
- f671a685fc47b83488871ae41a52bf4c