Malware langganan Android baru bernama ‘Fleckpe’ telah terlihat di Google Play, toko aplikasi resmi Android, menyamar sebagai aplikasi sah yang telah diunduh lebih dari 620.000 kali.
Kaspersky mengungkapkan bahwa Fleckpe adalah tambahan terbaru ke ranah malware yang menghasilkan biaya tidak sah dengan berlangganan pengguna ke layanan premium, bergabung dengan jajaran malware Android berbahaya lainnya, seperti Pelacur Dan Harly.
Pelaku ancaman menghasilkan uang dari langganan tidak sah dengan menerima bagian dari biaya langganan bulanan atau satu kali yang dihasilkan melalui layanan premium. Saat pelaku ancaman mengoperasikan layanan, mereka menyimpan seluruh pendapatan.
Data Kaspersky menunjukkan bahwa trojan tersebut telah aktif sejak tahun lalu namun baru ditemukan dan didokumentasikan belakangan ini.
Sebagian besar korban Fleckpe tinggal di Thailand, Malaysia, Indonesia, Singapura, dan Polandia, tetapi sejumlah kecil infeksi ditemukan di seluruh dunia.
Kaspersky menemukan 11 aplikasi trojan Fleckpe yang menyamar sebagai editor gambar, pustaka foto, wallpaper premium, dan lainnya di Google Play, didistribusikan dengan nama berikut:
- com.impressionism.prozs.app
- com.picture.pictureframe
- com.beauty.slimming.pro
- com.beauty.camera.plus.photoeditor
- com.microclip.vodeoeditor
- com.gif.camera.editor
- com.apps.camera.photos
- com.toolbox.photoeditor
- com.hd.h4ks.wallpaper
- com.draw.grafiti
- com.urox.opixe.nightcamreapro
“Semua aplikasi telah dihapus dari pasar pada saat laporan kami diterbitkan, tetapi aktor jahat mungkin telah menggunakan aplikasi lain, yang belum ditemukan, sehingga jumlah pemasangan sebenarnya bisa lebih tinggi.” menjelaskan Kaspersky di laporannya.
Pengguna Android yang sebelumnya telah menginstal aplikasi yang tercantum di atas disarankan untuk segera menghapusnya dan menjalankan pemindaian AV untuk mencabut sisa-sisa kode berbahaya yang masih tersembunyi di perangkat.
Berlangganan Anda di latar belakang
Setelah penginstalan, aplikasi jahat meminta akses ke konten notifikasi yang diperlukan untuk mendapatkan kode konfirmasi langganan di banyak layanan premium.
Saat aplikasi Fleckpe diluncurkan, aplikasi ini menerjemahkan muatan tersembunyi yang berisi kode berbahaya, yang kemudian dijalankan.
Muatan ini bertanggung jawab untuk menghubungi server komando dan kontrol (C2) pelaku ancaman untuk mengirim informasi dasar tentang perangkat yang baru terinfeksi, termasuk MCC (Kode Negara Seluler) dan MNC (Kode Jaringan Seluler).
C2 merespons dengan alamat situs web yang dibuka trojan di jendela browser web tak terlihat dan membuat korban berlangganan layanan premium.
Jika kode konfirmasi perlu dimasukkan, malware akan mengambilnya dari notifikasi perangkat dan mengirimkannya ke layar tersembunyi untuk menyelesaikan langganan.
Latar depan aplikasi masih menawarkan fungsionalitas yang dijanjikan kepada para korban, menyembunyikan tujuan sebenarnya mereka dan mengurangi kemungkinan menimbulkan kecurigaan.
Dalam versi terbaru Fleckpe yang dianalisis oleh Kaspersky, pengembang telah memindahkan sebagian besar kode langganan dari payload ke pustaka asli, membiarkan payload bertanggung jawab untuk mencegat notifikasi dan menampilkan halaman web.
.jpg)
Selain itu, lapisan kebingungan telah dimasukkan ke dalam versi payload terbaru.
Kaspersky yakin pembuat malware menerapkan modifikasi ini untuk meningkatkan kemampuan mengelak Fleckpe dan membuatnya lebih sulit untuk dianalisis.
Meskipun tidak seberbahaya spyware atau malware pencuri data, trojan langganan masih dapat dikenakan biaya tidak sah, mengumpulkan informasi sensitif tentang pengguna perangkat yang terinfeksi, dan berpotensi berfungsi sebagai titik masuk untuk muatan yang lebih kuat.
Untuk melindungi dari ancaman ini, pengguna Android disarankan untuk hanya mengunduh aplikasi dari sumber dan pengembang tepercaya dan memperhatikan izin yang diminta selama penginstalan.
