Nieuwe Google Play Store malware ontdekt op 620.000 apparaten

Elwin Hodžić
7

Kaspersky heeft een nieuwe malware ontdekt in de Google Play Store. Deze malware is opgenomen in 11 apps en werd tot nu toe geïnstalleerd op meer dan 620.000 apparaten.

Malware vermomd als foto-editor

Kaspersky heeft de nieuw ontdekte malware voor apparaten die op Android draaien ‘Fleckpe’ genoemd. Deze malware komt voornamelijk voor als foto-editor op de geïnfecteerde apparaten. Bij het opstarten laadt het een sterk verhulde bibliotheek die een kwaadaardige dropper bevat. Die decodeert op zijn beurt de daadwerkelijke kwaadaardige routines uit de app-componenten.

Malware maakt contact met C&C-servers

Volgens Kaspersky maakt de malware vervolgens contact met de Command and Control (C&C)-servers van de oplichters. Daarbij verzendt het informatie over het geïnfecteerde apparaat, zoals de Mobile Carrier Code (MCC) en de Mobile Network Code (MNC). Hiermee kan het land van herkomst van het slachtoffer en de mobiele netwerkprovider worden geïdentificeerd.

Trojan opent onzichtbare browser

De C&C-server retourneert een pagina met betaalde abonnementen, die de Trojan opent in een onzichtbare browser. Vervolgens probeert het namens het slachtoffer abonnementen af te sluiten. Als het abonnement bevestiging vereist, haalt de malware deze uit de meldingen en voert ze in het daarvoor bestemde veld in om het inschrijvingsproces te voltooien.

Malware bemoeilijkt analyse

De Trojan is voortdurend in ontwikkeling. De programmeurs zouden dus de bibliotheek hebben geüpdatet met de droppercode zodat de code voor het maken van abonnementen er ook in zit. De verder gedecodeerde code onderschept nu alleen meldingen en geeft webpagina’s weer. Daarmee vormt het de brug tussen native code en Android-componenten die nodig zijn om een ​​abonnement af te ronden. Volgens de analisten van Kaspersky is dit gedaan om de analyse te bemoeilijken en detectie met beveiligingstools te bemoeilijken. In tegenstelling tot de native code van de bibliotheek, is de gedecodeerde code slechts een beetje verhuld.

Slachtoffers voornamelijk in Thailand

De IT-onderzoekers vonden gecodeerde vaste MCC- en MNC-codes uit Thailand in de Trojan, die blijkbaar werden gebruikt om te testen. Een merendeel van de app-recensies is in het Thais geschreven. Blijkbaar stond Thailand vooral in de belangstelling van de malwareschrijvers. De telemetriegegevens van Kaspersky tonen echter ook slachtoffers in onder meer Polen, Maleisië, Indonesië en Singapore. De analyse bevat verder indicaties van de infectie (Indicators of Compromise, IOC’s) zoals pakketnamen, MD5-hashes en adressen van C&C-servers.

Meer over

android

Deel dit artikel

Elwin Hodžić
Elwin Hodžić(Web)redacteur bij c't. Ondanks de studie geschiedenis, altijd al een passie gehad voor alles wat met IT te maken heeft. Sleutelt in zijn vrije tijd graag aan pc’s, van de hardware tot het uitpluizen van de BIOS-instellingen om een pc zo optimaal mogelijk te laten werken.

Lees ook

Een VPN vanaf 1,99 euro p/m met deze Surfshark aanbieding

Een VPN is een handig hulpmiddel voor meer online privacy, toegang tot content die geografisch geblokkeerd is, en veiliger internetgebruik. Een VPN-di...

Pak jouw magazine moment met c’t

Ben je geïnteresseerd in de nieuwste trends en ontwikkelingen in de IT-wereld? Zoek je betrouwbare, onafhankelijke informatie? Dan is c’t magazine hét...

7 Praat mee
avatar
  Abonneer  
nieuwsteoudste
Laat het mij weten wanneer er
Leo
Lezer
Leo

Mag ik aannemen (hopen) dat de ge-infecteerde apps in de Play store inmiddels verwijderd zijn ?

Dre
Lezer
Dre

Dan was Elwin zn artikel overbodig geweest

Fjeffe
Lezer
Fjeffe

Mis ik nog ergens de namen van de apps die zijn geïnfecteerd?

Leo
Lezer
Leo

Precies…. Ik vroeg mij ook al af wat het nut van dit artikel eigenlijk is.

Manu
Lezer
Manu

De namen van de geïnfecteerde apps kan je deels achterhalen als je de link naar het Kaspersky artikel opent. Daar staan flink wat details over deze malware waaronder de namen die je zoekt!

Patrick.
Lezer
Patrick.

Ik had hem ook het foto progama google was wazig geworden het beeld had kuren
Ik werk met een crome book .
Even later was het over bij het sluiten van de computer geen last meer .

Deze buurt zit vol stalkers hier erg iritand zo iets

Patrick.
Lezer
Patrick.

Hebben we ook nog een muis update van een crome book het rode lampje onder werkt niet maar muis funktioneerd wel draadloos .