Fleckpe hat unabsichtlich kostenpflichtige Dienste von mehr als 620 Nutzern auf der ganzen Welt abonniert. Kaspersky-Forscher haben eine neue Familie von Trojanern entdeckt, die es auf Google Play-Nutzer abgesehen haben. Dieser Trojaner mit dem Namen „Fleckpe“ basiert auf einem abonnementbasierten Einnahmemodell und verbreitet sich über mobile Apps, die sich als Bildbearbeiter und Hintergrundbilder ausgeben und ohne deren Wissen kostenpflichtige Dienste abonnieren. Seit seiner Entdeckung im Jahr 2022 hat Fleckpe weltweit mehr als 620 Geräte infiziert und Opfer eingeschlossen.
Trotz aller Vorsichtsmaßnahmen kann es von Zeit zu Zeit vorkommen, dass schädliche Anwendungen in den Google Play Store hochgeladen werden. Am nervigsten davon sind die auf Gruppenabonnements basierenden Trojaner. Diese Trojaner abonnieren ihre Opfer ohne Vorankündigung für Dienste, an deren Kauf sie nie gedacht hätten, und Opfer von Betrügereien merken es erst, wenn ihre Abonnementgebühr in ihren Rechnungen ausgewiesen ist. Diese Art von Malware findet sich häufig auf dem offiziellen Markt für Android-Apps. Zwei kürzlich entdeckte Beispiele hierfür waren die Familie Jocker und die Familie Harly.
Kasperskys neueste Entdeckung auf diesem Gebiet ist die neue Familie von Trojanern namens Fleckpe, die sich über Google Play verbreitet, indem sie Bildbearbeitungsprogramme, Wallpaper-Pakete und andere Anwendungen imitiert. Dieser Trojaner abonniert, wie viele andere auch, ahnungslose Benutzer für kostenpflichtige Dienste.
Kaspersky-Daten zeigen, dass der neu entdeckte Trojaner seit 2022 aktiv ist. Kaspersky-Forscher fanden heraus, dass Fleckpe über mindestens 11 verschiedene Anwendungen auf mehr als 620 Geräten installiert wurde. Obwohl die Anwendungen zum Zeitpunkt der Veröffentlichung des Kaspersky-Berichts vom Markt genommen wurden, ist es möglich, dass Cyberkriminelle diese Malware weiterhin über andere Quellen verbreiten. Dies bedeutet, dass die tatsächliche Anzahl der Downloads möglicherweise höher ist.
Beispiel einer mit einem Trojaner infizierten App bei Google Play:
Die infizierte Fleckpe-Anwendung beginnt damit, eine stark getarnte native Bibliothek auf dem Gerät zu platzieren, die bösartige Dropper enthält, die für die Entschlüsselung und Ausführung bösartiger Nutzlasten verantwortlich sind. Diese Nutzlast kontaktiert den Befehls- und Kontrollserver des Angreifers und übermittelt Informationen über das infizierte Gerät, einschließlich Länder- und Betreiberdetails. Anschließend wird die kostenpflichtige Abonnementseite mit dem Gerät geteilt. Der Trojaner startet heimlich eine Webbrowser-Sitzung und versucht, im Namen des Benutzers den kostenpflichtigen Dienst zu abonnieren. Wenn für ein Abonnement ein Bestätigungscode erforderlich ist, greift die Software auch auf die Benachrichtigungen des Geräts zu und erfasst den gesendeten Bestätigungscode. Somit führt der Trojaner dazu, dass Benutzer Geld verlieren, wenn sie gegen ihren Willen einen kostenpflichtigen Dienst abonnieren. Interessanterweise hat dies keinen Einfluss auf die Funktionalität der App und Nutzer können im Hintergrund weiterhin Fotos bearbeiten oder Hintergrundbilder festlegen, ohne zu merken, dass ihnen eine Dienstleistung in Rechnung gestellt wird.
Kaspersky-Sicherheitsforscher Dmitry Kalinin sagte:
„Abonnementbasierte Trojaner erfreuen sich bei Betrügern in letzter Zeit zunehmender Beliebtheit. Cyberkriminelle, die sie nutzen, wenden sich zunehmend an offizielle Märkte wie Google Play, um Malware zu verbreiten. Die zunehmende Raffinesse von Trojanern ermöglicht es ihnen, verschiedene von Marktplätzen durchgesetzte Anti-Malware-Kontrollen erfolgreich zu umgehen und über lange Zeiträume unentdeckt zu bleiben. Von dieser Software betroffene Benutzer können nicht herausfinden, wie sie die betreffenden Dienste überhaupt abonniert haben, und sie können die unerwünschten Abonnements nicht sofort entdecken. All dies macht abonnementbasierte Trojaner in den Augen von Cyberkriminellen zu einer zuverlässigen illegalen Einnahmequelle.“
Kaspersky-Experten empfehlen Benutzern, abonnementbasierte Malware-Infektionen zu vermeiden:
„Seien Sie vorsichtig mit Apps, auch solchen aus legitimen Märkten wie Google Play, und kontrollieren Sie, welche Berechtigungen Sie installierten Apps gewähren. Einige davon können ein Sicherheitsrisiko darstellen.
Installieren Sie auf Ihrem Telefon eine Antivirensoftware, die solche Trojaner erkennen kann, z. B. Kaspersky Premium.
Installieren Sie keine Apps von Drittanbieterquellen oder Raubkopien. Bedenken Sie, dass Angreifer sich der Vorliebe der Menschen für kostenlose Inhalte bewusst sind und versuchen, diese Situation auf jede erdenkliche Weise auszunutzen.
Wenn auf Ihrem Telefon abonnementbasierte Malware erkannt wird, entfernen Sie die infizierte App sofort von Ihrem Gerät oder deaktivieren Sie sie, wenn sie bereits installiert ist.“