Kaspersky heeft een nieuwe malware ontdekt in de Google Play Store. Deze malware is opgenomen in 11 apps en werd tot nu toe geïnstalleerd op meer dan 620.000 apparaten.
Malware vermomd als foto-editor
Kaspersky heeft de nieuw ontdekte malware voor apparaten die op Android draaien ‘Fleckpe’ genoemd. Deze malware komt voornamelijk voor als foto-editor op de geïnfecteerde apparaten. Bij het opstarten laadt het een sterk verhulde bibliotheek die een kwaadaardige dropper bevat. Die decodeert op zijn beurt de daadwerkelijke kwaadaardige routines uit de app-componenten.
Malware maakt contact met C&C-servers
Volgens Kaspersky maakt de malware vervolgens contact met de Command and Control (C&C)-servers van de oplichters. Daarbij verzendt het informatie over het geïnfecteerde apparaat, zoals de Mobile Carrier Code (MCC) en de Mobile Network Code (MNC). Hiermee kan het land van herkomst van het slachtoffer en de mobiele netwerkprovider worden geïdentificeerd.
Trojan opent onzichtbare browser
De C&C-server retourneert een pagina met betaalde abonnementen, die de Trojan opent in een onzichtbare browser. Vervolgens probeert het namens het slachtoffer abonnementen af te sluiten. Als het abonnement bevestiging vereist, haalt de malware deze uit de meldingen en voert ze in het daarvoor bestemde veld in om het inschrijvingsproces te voltooien.
Malware bemoeilijkt analyse
De Trojan is voortdurend in ontwikkeling. De programmeurs zouden dus de bibliotheek hebben geüpdatet met de droppercode zodat de code voor het maken van abonnementen er ook in zit. De verder gedecodeerde code onderschept nu alleen meldingen en geeft webpagina’s weer. Daarmee vormt het de brug tussen native code en Android-componenten die nodig zijn om een abonnement af te ronden. Volgens de analisten van Kaspersky is dit gedaan om de analyse te bemoeilijken en detectie met beveiligingstools te bemoeilijken. In tegenstelling tot de native code van de bibliotheek, is de gedecodeerde code slechts een beetje verhuld.
Slachtoffers voornamelijk in Thailand
De IT-onderzoekers vonden gecodeerde vaste MCC- en MNC-codes uit Thailand in de Trojan, die blijkbaar werden gebruikt om te testen. Een merendeel van de app-recensies is in het Thais geschreven. Blijkbaar stond Thailand vooral in de belangstelling van de malwareschrijvers. De telemetriegegevens van Kaspersky tonen echter ook slachtoffers in onder meer Polen, Maleisië, Indonesië en Singapore. De analyse bevat verder indicaties van de infectie (Indicators of Compromise, IOC’s) zoals pakketnamen, MD5-hashes en adressen van C&C-servers.
Mag ik aannemen (hopen) dat de ge-infecteerde apps in de Play store inmiddels verwijderd zijn ?
Dan was Elwin zn artikel overbodig geweest
Mis ik nog ergens de namen van de apps die zijn geïnfecteerd?
Precies…. Ik vroeg mij ook al af wat het nut van dit artikel eigenlijk is.
De namen van de geïnfecteerde apps kan je deels achterhalen als je de link naar het Kaspersky artikel opent. Daar staan flink wat details over deze malware waaronder de namen die je zoekt!
Ik had hem ook het foto progama google was wazig geworden het beeld had kuren
Ik werk met een crome book .
Even later was het over bij het sluiten van de computer geen last meer .
Deze buurt zit vol stalkers hier erg iritand zo iets
Hebben we ook nog een muis update van een crome book het rode lampje onder werkt niet maar muis funktioneerd wel draadloos .