Fleckpe involuntariamente se inscreveu em serviços pagos de mais de 620 usuários em todo o mundo. Pesquisadores da Kaspersky descobriram uma nova família de cavalos de Tróia visando usuários do Google Play. Chamado Fleckpe, seguindo um modelo de receita baseado em assinatura, esse Trojan se espalha por meio de aplicativos móveis disfarçados de editores de fotos e baixadores de papéis de parede, assinando serviços pagos sem o conhecimento deles. Desde que foi detectado em 2022, o Fleckpe infectou mais de 620 dispositivos e prendeu vítimas em todo o mundo.
Apesar de todas as precauções tomadas, aplicativos maliciosos podem ser carregados na Google Play Store de tempos em tempos. O mais irritante deles são os cavalos de Tróia baseados em assinatura de grupo. Esses cavalos de Tróia inscrevem suas vítimas em serviços que nunca pensariam em comprar, sem aviso prévio, e as vítimas de golpes não percebem isso até que a taxa de assinatura seja refletida em suas contas. Esse tipo de malware geralmente se encontra no mercado oficial de aplicativos Android. Dois exemplos recentemente descobertos foram a família Jocker e a família Harly.
A última descoberta da Kaspersky nessa área é a nova família de cavalos de Tróia chamada Fleckpe, que se espalha pelo Google Play imitando editores de fotos, pacotes de papel de parede e outros aplicativos. Este Trojan, como muitos outros, inscreve usuários inconscientes em serviços pagos.
Os dados da Kaspersky mostram que o Trojan recém-descoberto está ativo desde 2022. Os pesquisadores da Kaspersky descobriram que o Fleckpe foi instalado em mais de 11 dispositivos por meio de pelo menos 620 aplicativos diferentes. Embora os aplicativos tenham sido removidos do mercado quando o relatório da Kaspersky foi publicado, é possível que os cibercriminosos continuem a distribuir esse malware por outras fontes. Isso significa que a contagem real de downloads pode ser maior.
Exemplo de um aplicativo infectado por Trojan no Google Play:
O aplicativo Fleckpe infectado começa colocando uma biblioteca nativa altamente disfarçada no dispositivo que contém droppers maliciosos responsáveis por descriptografar e executar cargas maliciosas. Essa carga entra em contato com o servidor de comando e controle dos invasores e transmite informações sobre o dispositivo infectado, incluindo detalhes do país e da operadora. Em seguida, a página de assinatura paga é compartilhada com o dispositivo. O cavalo de Tróia está secretamente iniciando uma sessão do navegador da web e tentando assinar o serviço pago em nome do usuário. Se uma assinatura exigir um código de confirmação, o software também acessa as notificações do dispositivo e captura o código de confirmação enviado. Assim, o Trojan faz com que os usuários percam dinheiro ao assinar um serviço pago contra sua vontade. Curiosamente, isso não afeta a funcionalidade do aplicativo, e os usuários podem continuar editando fotos ou colocando papéis de parede em segundo plano sem perceber que estão sendo cobrados por um serviço.
O pesquisador de segurança da Kaspersky, Dmitry Kalinin, disse:
“Os Trojans baseados em assinaturas têm ganhado popularidade entre os golpistas ultimamente. Os cibercriminosos que os utilizam estão cada vez mais recorrendo a mercados oficiais como o Google Play para espalhar malware. A crescente sofisticação dos cavalos de Tróia permite que eles contornem com sucesso vários controles antimalware impostos pelos mercados e permaneçam indetectáveis por longos períodos de tempo. Os usuários afetados por esses softwares não conseguem descobrir como se inscreveram nos serviços em questão e não podem descobrir imediatamente as assinaturas indesejadas. Tudo isso torna os trojans baseados em assinatura uma fonte confiável de renda ilegal aos olhos dos cibercriminosos.”
Para evitar a infecção por malware baseado em assinatura, os especialistas da Kaspersky recomendam aos usuários:
“Tenha cuidado com aplicativos, incluindo aqueles de mercados legítimos como o Google Play, e controle quais permissões você concede aos aplicativos instalados. Alguns deles podem representar um risco de segurança.
Instale um software antivírus em seu telefone que possa detectar esses cavalos de Tróia, como o Kaspersky Premium.
Não instale aplicativos de fontes de terceiros ou sites piratas. Lembre-se de que os invasores estão cientes do gosto das pessoas por coisas gratuitas e trabalharão para explorar essa situação de todas as maneiras possíveis.
Se malware baseado em assinatura for detectado em seu telefone, remova imediatamente o aplicativo infectado de seu dispositivo ou desative-o se já estiver instalado.”