Este nuevo malware para Android se instaló 600,000 veces desde Google Play
Investigadores detectaron un nuevo malware para Android llamado ‘Fleckpe’ en Google Play, la tienda oficial de aplicaciones de Android. El malware estaba disfrazado de aplicaciones legítimas descargadas más de 620,000 veces.
Kaspersky reveló que Fleckpe es la última incorporación al reino del malware que genera cargos no autorizados al suscribir a los usuarios a servicios premium, uniéndose a las filas de otros malware maliciosos para Android, como Jocker y Harly.
Los ciberdelincuentes ganan dinero con suscripciones no autorizadas al recibir una parte de las tarifas de suscripción mensuales o únicas generadas a través de los servicios premium. Cuando los ciberdelincuentes operan los servicios, se quedan con todos los ingresos.
Los datos de Kaspersky sugieren que el troyano ha estado activo desde el año pasado, pero fue descubierto y documentado recientemente.
La mayoría de las víctimas de Fleckpe residen en Tailandia, Malasia, Indonesia, Singapur y Polonia. No obstante, también encontraron un número menor de infecciones en todo el mundo.
Aplicaciones maliciosas
Kaspersky descubrió 11 aplicaciones troyanizadas con Fleckpe que se hacen pasar por editores de imágenes, bibliotecas de fotos, fondos de pantalla premium y más en Google Play, distribuidas con los siguientes nombres:
- Beauty Slimming Photo Editor
- Photo Effect Editor
- Gif Camera Editor Pro
- Toolbox Photo Editor
- Beauty Camrea Plus Photo Editor
- Microclip Video Editor
- Camera Photos
- H4KS Wallpaper
- Draw Graffiti
- Night Cam Rea Pro
“Todas las aplicaciones se habían eliminado del mercado cuando se publicó nuestro informe. Sin embargo, los ciberdelincuentes podrían haber implementado otras aplicaciones aún no descubiertas, por lo que la cantidad real de instalaciones podría ser mayor”. .
Explicación de Kaspersky en su informe
Se recomienda a los usuarios de Android que hayan instalado previamente las aplicaciones listadas anteriormente que las eliminen de inmediato y ejecuten un análisis antivirus para eliminar cualquier resto de código malicioso que aún esté oculto en el dispositivo.
Suscribiéndote en segundo plano
Tras la instalación, la aplicación maliciosa solicita acceso al contenido de notificación necesario para capturar códigos de confirmación de suscripción en muchos servicios premium.
Cuando se inicia una aplicación con Fleckpe, decodifica un payload oculto que contiene código malicioso, que luego se ejecuta.
Este payload es responsable de contactar al servidor de comando y control (C2) del ciberdelincuente para enviar información básica sobre el dispositivo recién infectado, incluido el MCC (Mobile Country Code) y MNC (Mobile Network Code).
El C2 responde con una dirección de sitio web que el troyano abre en una ventana invisible del navegador web y suscribe a la víctima a un servicio premium.
Si es necesario ingresar un código de confirmación, el malware lo recupera de las notificaciones del dispositivo y lo envía a la pantalla oculta para finalizar la suscripción.
El primer plano de la aplicación aún ofrece a las víctimas la funcionalidad prometida, ocultando su propósito real y reduciendo la probabilidad de levantar sospechas.
En las últimas versiones de Fleckpe analizadas por Kaspersky, los desarrolladores cambiaron la mayor parte del código de suscripción del payload a la biblioteca nativa, dejando el payload responsable de interceptar notificaciones y mostrar páginas web.
Además, se ha incorporado una capa de ofuscación en la versión del payload más reciente.
Kaspersky cree que los creadores del malware implementaron estas modificaciones para aumentar la capacidad de evasión de Fleckpe y dificultar su análisis.
Si bien no son tan peligrosos como el software espía o el malware que roba datos, los troyanos de suscripción aún pueden incurrir en cargos no autorizados, recopilar información confidencial sobre el usuario del dispositivo infectado y servir potencialmente como puntos de entrada para payloads más potentes.
Cómo protegerse
Para protegerse contra estas amenazas, recomendamos a los usuarios de Android que solo descarguen aplicaciones de fuentes y desarrolladores confiables y presten atención a los permisos solicitados durante la instalación.
Además, incluso si una aplicación tiene una calificación alta y muchas descargas, como fue el caso aquí, aún podría ser maliciosa. Es por eso que debes evitar instalar aplicaciones innecesarias en tus dispositivos. Antes de instalar cualquier aplicación nueva, pregúntate primero si realmente la necesitas.
Para proteger aún más tus dispositivos, debes asegurarte de que Google Play Protect esté habilitado en tu teléfono inteligente, ya que analiza continuamente las aplicaciones nuevas y existentes en busca de malware.