Kaspersky Labs a annoncé qu’un nouveau malware appelé Fleckpe a été trouvé dans 11 applications différentes sur le Google Play Store. Le cheval de Troie d’abonnement était déguisé en programme d’édition d’images et installé sur plus de 620 000 appareils. Bien que Google ait supprimé les applications malveillantes, les enquêteurs médico-légaux ont averti que d’autres applications non détectées pourraient contenir le même logiciel malveillant Fleckpe. Lorsque le logiciel malveillant est lancé, il charge une bibliothèque contenant un compte-gouttes malveillant qui contacte les serveurs de commande et de contrôle de l’escroc. Ces serveurs renvoient ensuite une page d’abonnements payants, que le logiciel malveillant ouvre de manière invisible et tente de compléter au nom de la victime.
Lors du premier lancement, l’application cheval de Troie demandera l’autorisation et une fois qu’elle aura trouvé le code de vérification, elle l’entrera dans le champ approprié et terminera le processus d’abonnement. Les victimes ne sont pas conscientes des activités trompeuses du logiciel malveillant puisqu’elles utilisent les fonctionnalités annoncées de l’application. Le malware évolue constamment et les programmeurs auraient mis à jour la bibliothèque avec le code dropper pour inclure également le code permettant de créer des abonnements. Le logiciel malveillant est codé pour le rendre difficile à détecter avec des outils de sécurité, ce qui rend l’analyse difficile.
Les chercheurs de Kaspersky ont trouvé des codes MCC et MNC codés en dur en provenance de Thaïlande dans le cheval de Troie, ainsi qu’un plus grand nombre de critiques d’applications rédigées en thaï. Cela suggère que les Thaïlandais sont particulièrement ciblés par les auteurs de malwares. D’autres victimes ont été retrouvées en Pologne, en Malaisie, en Indonésie et à Singapour. L’analyse répertorie également les indicateurs d’infection, tels que les noms de packages, les hachages MD5 et les adresses de serveur C&C. Récemment, des chercheurs en informatique ont également analysé un cheval de Troie bancaire Android qui peut attaquer plus de 400 institutions financières et leur retirer de l’argent.
