卡巴斯基(Kaspersky)本周揭露,有11款夹带新一代订阅木马程序Fleckpe的Android程序成功溜进了谷歌 Play,这些程序多半是照片编辑或是壁纸等热门程序,估计至少已被安装在62万个装置上,大多数受害者位于泰国,但波兰、马来西亚、印尼与新加坡都有人受害。
分析显示,当用户启用夹带Fleckpe的行动程序时,它会载入一个高度混淆的原生库,该程序库内含一个下载器,可用来解压缩及执行一个来自程序资产的酬载,该酬载即会与黑客所设置的C&C服务器通讯,传送受害装置的信息,诸如行动装置国家代码(MCC)与行动装置网络代码(MNC)等,辨识装置的所在位置及所使用的电信服务。
继之该C&C服务器即会回传一个付费订阅页面,Fleckpe会利用一个不可见的浏览器开启该页面,并企图替用户执行订阅,若需要输入确认码才能订阅,Fleckpe也会自装置的通知功能取得确认码并完成订阅程序。 值得注意的是,这类的程序在安装时便已向用户取得访问通知的权限。
用户仍能正常使用这些恶意程式所描述的功能,但并不知道自己已经付费订阅了服务。
研究人员推测Fleckpe自2022年就开始运作,也看到许多不同的版本,最近的版本把绝大多数的订阅程式码从酬载移至原生库,让酬载只担任拦截通知与检视网页的中介角色,以令安全工具更难侦测。
由于Fleckpe内建了泰国的MCC与MNC代码以进行测试,显示它主要锁定泰国市场,但遥测透露其它国家亦有用户受害。
卡巴斯基认为,愈来愈复杂的木马编程让它们闪过了程序市集的众多安全检查,而且很久才被发现,而受害者则通常是在收到帐单之后才察觉有异,这些都让订阅木马成为黑客眼中用来赚进不法收益的可靠途径。
研究人员亦提醒,他们所发现的11个暗藏Fleckpe的恶意程式都已被谷歌下架,但或许有其它同样植入Fleckpe的程序尚未被发现,建议用户不要释出不必要的权限予行动程序,也应安装防毒产品以策安全。
