Fleckpe on tahtmatult tellinud tasulisi teenuseid enam kui 620 2022 kasutajalt üle maailma. Kaspersky teadlased avastasid uue troojalaste perekonna, mis sihivad Google Play kasutajaid. Fleckpe nimeline ja tellimispõhise tulumudeli järgi levib see troojalane mobiilirakenduste kaudu, mis maskeeruvad fotode redigeerijate ja taustapildi allalaadijatena ning tellivad tasulisi teenuseid ilma nende teadmata. Alates selle tuvastamisest 620. aastal on Fleckpe nakatanud üle XNUMX XNUMX seadme ja püüdnud ohvreid kogu maailmas.
Hoolimata kõigist ettevaatusabinõudest võib aeg-ajalt Google Play poodi pahatahtlikke rakendusi üles laadida. Neist kõige tüütumad on grupitellimusel põhinevad troojalased. Need troojalased, kes tellivad oma ohvritele teenuseid, mida nad poleks ette teatamata mõelnudki osta, ja petuskeemide ohvrid saavad sellest aru alles siis, kui liitumistasu kajastub nende arvetel. Seda tüüpi pahavara leiab end sageli Androidi rakenduste ametlikult turult. Kaks hiljuti avastatud näidet olid Jockeri perekond ja Harly perekond.
Kaspersky uusim avastus selles vallas on uus Trooja hobuste perekond nimega Fleckpe, mis levib Google Play kaudu fotoredaktoreid, tapeedipakke ja muid rakendusi imiteerides. See troojalane, nagu paljud teised, tellib tasulisi teenuseid teadmata kasutajatele.
Kaspersky andmed näitavad, et äsja avastatud troojalane on olnud aktiivne alates 2022. aastast. Kaspersky teadlased leidsid, et Fleckpe installiti enam kui 11 620 seadmesse vähemalt XNUMX erineva rakenduse kaudu. Kuigi rakendused eemaldati Kaspersky raporti avaldamisel turult, on võimalik, et küberkurjategijad jätkavad selle pahavara levitamist teiste allikate kaudu. See tähendab, et tegelik allalaadimiste arv võib olla suurem.
Näide trooja nakatunud rakendusest Google Plays:
Nakatunud Fleckpe rakendus käivitab seadmesse väga varjatud algteegi, mis sisaldab pahatahtlikke tilgureid, mis vastutavad pahatahtlike kasulike koormuste dekrüpteerimise ja käitamise eest. See kasulik koormus võtab ühendust ründajate käsu- ja juhtimisserveriga ning edastab teavet nakatunud seadme kohta, sealhulgas riigi ja operaatori üksikasju. Seejärel jagatakse tasulist liitumislehte seadmega. Troojalane alustab salaja veebibrauseri seanssi ja üritab kasutaja nimel tasulist teenust tellida. Kui tellimus nõuab kinnituskoodi, pääseb tarkvara juurde ka seadme teavitustele ja jäädvustab saadetud kinnituskoodi. Seega põhjustab troojalane kasutajate raha kaotamise, tellides vastu nende tahtmist tasulise teenuse. Huvitaval kombel ei mõjuta see rakenduse funktsionaalsust ja kasutajad saavad jätkata fotode redigeerimist või taustapilte seadmist, ilma et nad mõistaksid, et neilt võetakse teenuse eest tasu.
Kaspersky turvateadlane Dmitri Kalinin ütles:
"Abonemendipõhised troojalased on petturite seas viimasel ajal populaarsust kogumas. Neid kasutavad küberkurjategijad pöörduvad pahavara levitamiseks üha enam ametlikele turgudele, nagu Google Play. Troojalaste kasvav keerukus võimaldab neil edukalt mööda hiilida erinevatest turuplatside jõustatud pahavaratõrjetest ja jääda pikka aega avastamata. Kasutajad, keda see tarkvara mõjutab, ei saa teada, kuidas nad kõnealuseid teenuseid üldse tellisid, ja nad ei saa kohe avastada soovimatuid tellimusi. Kõik see muudab abonemendipõhised troojalased küberkurjategijate silmis usaldusväärseks ebaseadusliku sissetuleku allikaks.
Kaspersky eksperdid soovitavad kasutajatel vältida tellimuspõhise pahavara nakatumist:
„Olge ettevaatlik rakendustega, sealhulgas seaduslike turgude, näiteks Google Play, rakendustega ja kontrollige, milliseid õigusi installitud rakendustele annate. Mõned neist võivad kujutada endast turvariski.
Installige oma telefoni viirusetõrjetarkvara, mis suudab selliseid troojalasi tuvastada, näiteks Kaspersky Premium.
Ärge installige rakendusi kolmandate osapoolte allikatest ega piraatsaitidelt. Pidage meeles, et ründajad on teadlikud inimeste kiindumusest tasuta asjade vastu ja püüavad seda olukorda igal võimalikul viisil ära kasutada.
Kui teie telefonis tuvastatakse tellimuspõhine pahavara, eemaldage nakatunud rakendus kohe oma seadmest või keelake see, kui see on eelinstallitud.