Троян Fleckpe заразил более 620 000 устройств через Google Play: как злоумышленники крадут деньги пользователей

Троян Fleckpe действует скрытно и использует сложные методы обфускации кода, чтобы избежать обнаружения. При запуске зараженного приложения загружается нативная библиотека, содержащая дроппер, который расшифровывает и запускает вредоносную полезную нагрузку. Эта нагрузка подключается к серверу злоумышленников (C&C) и передает данные об устройстве, включая коды страны (MCC) и оператора связи (MNC). На основе этой информации сервер отправляет страницу платной подписки, которую троянец открывает в невидимом браузере.

Если для оформления подписки требуется код подтверждения, вредоносная программа перехватывает его из уведомлений, доступ к которым был запрошен при первом запуске приложения. Получив код, троянец автоматически вводит его и завершает подписку, а пользователь даже не подозревает о мошенничестве. Внешне приложение продолжает работать как обычно - например, позволяет устанавливать обои или редактировать фотографии, - но в фоновом режиме с банковской карты жертвы списываются деньги.

Злоумышленники постоянно совершенствуют троян. В последних версиях большая часть вредоносного кода была перенесена в нативную библиотеку, что усложняет анализ и обнаружение. Полезная нагрузка теперь выполняет лишь минимальные функции: перехватывает уведомления и взаимодействует с веб-страницами, выступая посредником между нативным кодом и системными компонентами Android. Это делает троян более устойчивым к инструментам защиты.

Анализ Kaspersky Lab показал, что в коде трояна присутствуют жестко закодированные тайские коды операторов (MCC и MNC), что указывает на тестирование злоумышленниками своей схемы в Таиланде. Подтверждением этого стали многочисленные отзывы на тайском языке в Google Play. Однако телеметрия выявила жертв и в других странах, включая Польшу, Малайзию, Индонезию и Сингапур.

Эксперты рекомендуют пользователям внимательно проверять разрешения, запрашиваемые приложениями, и избегать установки программ из ненадежных источников. Если устройство начало списывать деньги без ведома владельца, необходимо проверить активные подписки и установленные приложения, а также использовать надежное антивирусное ПО. Google Play продолжает борьбу с вредоносными программами, но злоумышленники находят новые способы обхода защиты, поэтому бдительность пользователей остается ключевым фактором безопасности.

URLs

• http://54.245.21.104
• http://a.hdmodecam.live
• http://ac.iprocam.xyz
• http://ad.iprocam.xyz
• http://ae.mveditor.xyz
• http://ap.iprocam.xyz
• http://api.odskguo.xyz
• http://b.hdmodecam.live
• http://b7.photoeffect.xyz
• http://b8c.mveditor.xyz
• http://ba.beautycam.xyz
• http://ba3.photoeffect.xyz
• http://d3.mveditor.xyz
• http://f0.photoeffect.xyz
• http://f6.beautycam.xyz
• http://f8a.beautycam.xyz
• http://fa.gifcam.xyz
• http://fb.gifcam.xyz
• http://fl.gifcam.xyz
• http://gbcf.odskguo.xyz
• http://l.hdmodecam.live
• http://m11.slimedit.live
• http://m12.slimedit.live
• http://m13.slimedit.live
• http://t1.twmills.xyz
• http://t2.twmills.xyz
• http://t3.twmills.xyz
• http://track.odskguo.xyz
• http://vd.toobox.online
• http://ve.toobox.online
• http://vt.toobox.online

MD5

• 063093eb8f8748c126a6ad3e31c9e6fe
• 0beec878ff2645778472b97c1f8b4113
• 101500cd421566690744558af3f0b8cc
• 175c59c0f9fab032dde32c7d5beede11
• 1879c233599e7f2634ef8d5041001d40
• 2b6b1f7b220c69d37a413b0c448aa56a
• 37162c08587f5c3009afceec3efa43eb
• 3d0a18503c4ef830e2d3fbe43ecbe811
• 40c451061507d996c0ab8a233bd99ff8
• 5ce7d0a72b1bd805c79c5fe3a48e66c2
• 7f391b24d83cee69672618105f8167e1
• 8095c11e404a3e701e13a6220d0623b9
• aa1cec619bf65972d220904130aed3d9
• b66d77370f522c6d640c54da2d11735e
• bdbbf20b3866c781f7f9d4f1c2b5f2d3
• c5dd2ea5b1a292129d4ecfbeb09343c4
• d39b472b0974df19e5efbda4c629e4d5
• dd16bd0cb8f30b2f6daac91af4d350be
• e92ff47d733e2e964106edc06f6b758a
• ecdc4606901abd9bb0b160197efe39b7
• f3ecf39bb0296ac37c7f35ee4c6eddbc
• f671a685fc47b83488871ae41a52bf4c