Die Kaspersky-Forscher haben eine neue Trojaner-Familie entdeckt, die auf Google-Play-Nutzer abzielt. Der Abonnement-Trojaner "Fleckpe" verbreitet sich über Bildbearbeitungsprogramme wie "Beauty Slimming Photo Editor" oder "Photo Effect Editor" und Apps für Hintergrundbilder und abonniert kostenpflichtige Dienste, ohne dass der Nutzer dies merkt.
Die infizierte Fleckpe-App startet eine stark verschleierte native Bibliothek, die einen schädlichen Dropper enthält, der für die Entschlüsselung und Ausführung einer Payload aus den Assets der App verantwortlich ist. Diese Payload stellt eine Verbindung mit dem Command-and-Control-Server des Angreifers her und übermittelt Informationen über das infizierte Gerät, darunter etwa Land- und Netzbetreiber. Danach wird eine kostenpflichtige Abonnementseite bereitgestellt, die der Trojaner dann versucht heimlich über den Webbrowser aufzurufen, um den kostenpflichtigen Dienst im Namen des Nutzers zu abonnieren. Wenn das Abonnement einen Bestätigungscode erfordert, greift die Malware auf die Benachrichtigungen des Geräts zu, um diesen zu erhalten. Durch das Abonnement verlieren die betroffenen Nutzer Geld. Die Funktionalität der App bleibt durch den Trojaner unberührt, Nutzer können weiterhin Fotos bearbeiten oder Hintergrundbilder festlegen, ohne jedoch zu bemerken, dass ihnen ein Dienst in Rechnung gestellt wurde.
Fleckpe hat seit seiner Entdeckung im Jahr 2022 mehr als 620.000 Geräte infiziert, mit Opfern auf der ganzen Welt. Obwohl die Apps zum Zeitpunkt der Veröffentlichung des Kaspersky-Berichts vom Markt genommen wurden, ist es möglich, dass Cyberkriminelle diese Malware weiterhin in anderen Apps einsetzen. Die tatsächliche Zahl der Installationen dürfte also höher liegen.
Dmitry Kalinin, Sicherheitsexperte bei Kaspersky, zum vermehrten Aufkommen von Abo-Malware in offiziellen App-Stores:
"Leider werden Abonnement-Trojaner bei Betrügern immer beliebter. Cyberkriminelle nutzen vermehrt offizielle Marktplätze wie Google Play, um ihre Malware zu verbreiten. Die Trojaner werden immer ausgeklügelter, sodass sie von den Marktplätzen implementierte Anti-Malware-Prüfungen erfolgreich umgehen und so lange Zeit unentdeckt bleiben können. Betroffene Nutzer entdecken die unerwünschten Abonnements oft nicht sofort und wissen meist nicht, wann und wie diese überhaupt abgeschlossen wurden. Dies macht Abonnement-Trojaner für Cyberkriminelle zu einer zuverlässigen illegalen Einnahmequelle."
Kaspersky-Tipps zum Schutz vor Malware
- Bei der Installation von Apps prüfen, welche Berechtigungen gefordert werden.
- Keine Apps von Drittanbietern oder Raubkopien installieren, sondern nur aus den offiziellen App-Stores herunterladen.
- Falls eine Abonnement-Malware auf dem Telefon gefunden wird, die infizierte App umgehend löschen beziehungsweise deaktivieren, falls es sich um eine vorinstallierte App handelt.
- Eine Sicherheitslösung wie Kaspersky Premium nutzen, die Malware erkennen und blockieren kann.
Quelle: Pressemitteilung