Un nuovo malware Android chiamato Fleckpe è stato scoperto sul Google Play Store, accumulando più di 620.000 download totali dal 2022. Kaspersky, che ha identificato 11 app sul negozio ufficiale di applicazioni, ha affermato che il malware si celava dietro app legittime di fotoritocco, fotocamere e pacchetti di sfondi per smartphone. Le app in questione sono state successivamente rimosse.
Gli utenti colpiti e le app infettate
L’operazione prende principalmente di mira gli utenti della Thailandia, sebbene i dati raccolti dalla società russa di cybersecurity abbiano rivelato vittime anche in Polonia, Malesia, Indonesia e Singapore. Le app coinvolte offrivano la funzionalità promessa per evitare sospetti, ma nascondevano il loro vero scopo. Ecco l’elenco delle app incriminate:
- Beauty Camera Plus
- Beauty Photo Camera
- Beauty Slimming Photo Editor
- Fingertip Graffiti
- GIF Camera Editor
- HD 4K Wallpaper
- Impressionism Pro Camera
- Microclip Video Editor
- Night Mode Camera Pro
- Photo Camera Editor
- Photo Effect Editor
Il funzionamento del malware Fleckpe
Quando l’app viene avviata, carica una libreria nativa pesantemente offuscata contenente un dropper dannoso che decifra ed esegue un payload dalle risorse dell’app. Il payload è progettato per contattare un server remoto e trasmettere informazioni sul dispositivo compromesso (ad esempio, codice di paese mobile e codice di rete mobile). In seguito, il server risponde con una pagina di abbonamento a pagamento.
Il malware successivamente apre la pagina in una finestra del browser web invisibile e tenta di effettuare l’iscrizione per conto dell’utente, abusando delle sue autorizzazioni per accedere alle notifiche e ottenere il codice di conferma necessario per completare il processo.
L’evoluzione di Fleckpe e le implicazioni per gli utenti
Le recenti versioni del malware hanno spostato gran parte della funzionalità dannosa nella libreria nativa per eludere il rilevamento degli strumenti di sicurezza. “Il payload ora intercetta solo le notifiche e visualizza le pagine web, agendo come un ponte tra il codice nativo e i componenti Android necessari per acquistare un abbonamento”, ha osservato il ricercatore di Kaspersky, Dmitry Kalinin.
Altri casi di malware a sottoscrizione sul Google Play Store
Malware su Google Play Store: un mercato nero in espansione
Malware ‘Goldoson’ colpisce 60 app su Google Play con 100 milioni di download
Famiglie di fleeceware note Questo non è il primo caso di malware a sottoscrizione scoperto sul Google Play Store. Fleckpe si unisce ad altre famiglie di fleeceware come Joker e Hqwar, che iscrivono i dispositivi infetti a servizi premium indesiderati e conducono frodi nella fatturazione.
Il pericolo delle app infette
Sebbene queste app possano sembrare innocue o addirittura utili, una volta installate sul dispositivo, esse conducono attività dannose e fraudolente. Possono iscrivere gli utenti a servizi a pagamento senza il loro consenso, causando costi elevati e problemi di sicurezza.
Prevenire l’installazione di app dannose
Per proteggersi da queste minacce, è importante seguire alcune precauzioni:
- Verifica delle recensioni: prima di installare un’app, controlla le recensioni degli utenti e presta attenzione a eventuali segnalazioni di comportamenti sospetti o costi nascosti.
- Installazione di app da fonti affidabili: preferisci sempre l’installazione di app da fonti ufficiali, come il Google Play Store, e fai attenzione alle app che richiedono autorizzazioni insolite o eccessive.
- Utilizzo di un software antivirus: installa un software antivirus affidabile sul tuo dispositivo e assicurati che sia sempre aggiornato per proteggerti dalle minacce più recenti.
- Monitoraggio delle spese: controlla regolarmente le spese del tuo account e segnala eventuali addebiti sospetti al tuo operatore telefonico o alla tua banca.
Rimozione delle app dannose
Se sospetti di aver installato un’app infetta da fleeceware, disinstallala immediatamente e contatta il tuo operatore telefonico per bloccare eventuali addebiti indesiderati. Inoltre, è consigliabile cambiare le password e monitorare attentamente l’attività del tuo account.