Descoberta da Kaspersky mostra nova família de trojan que se espalha como programa para editar fotos e estavam disponíveis na loja Google Play
Pesquisadores da Kaspersky descobriram um novo golpe que tem como alvo os usuários da Google Play. O trojan foi apelidado de Fleckpe e se espalha principalmente por meio de apps de edição de fotos e papéis de parede para celular. O trojan inscrevia as vítimas em serviços pagos sem seu consentimento. O Fleckpe infectou mais de 620 mil dispositivos em todo o mundo desde que foi detectado em 2022.
Os dados da Kaspersky sugerem que esse trojan está ativo desde 2022 e os pesquisadores da empresa encontraram pelo menos 11 apps infectados com o Fleckpe – esses programas foram instalados em mais de 620 mil dispositivos. Embora os aplicativos tenham sido removidos da loja oficial após a publicação do relatório da Kaspersky, é possível que os cibercriminosos continuem implantando esse malware em outros aplicativos. Isso significa que o número real de instalações provavelmente é maior.
O aplicativo infectado com o Fleckpe executa uma biblioteca que contém um dropper malicioso, que por sua vez irá decifrar seu conteúdo e executar o payload baixado entre os arquivos do app malicioso. O payload irá estabelecer conexão com o servidor de comando e controle dos invasores, transmitindo informações sobre o dispositivo infectado, incluindo os detalhes da operadora da vítima. Depois disso, uma página de assinatura paga será exibida.
O Trojan então lança secretamente um navegador da web e tenta se inscrever no serviço pago em nome do usuário. Se a assinatura exigir um código de confirmação enviado por SMS, o malware acessa as notificações do dispositivo para obtê-lo.
Assim, o Trojan inscreve as pessoas em um serviço pago sem seu consentimento, resultando na perda de dinheiro da vítima. Curiosamente, a funcionalidade do aplicativo permanece inalterada e os usuários podem continuar a editar fotos ou definir papéis de parede sem perceber que foram cobrados por um serviço.
“Infelizmente, a popularidade dos trojans que realizam assinaturas premium só cresce entre os fraudadores. Os cibercriminosos que os usam têm se voltado cada vez mais para disseminação de seus golpes em lojas oficiais. A crescente complexidade dos trojans permitiu que eles contornassem com sucesso muitas verificações antimalware implementadas pelos serviços de compra. As vítimas afetadas geralmente não conseguem descobrir as assinaturas indesejadas imediatamente, muito menos descobrir como elas aconteceram. Tudo isso torna os trojans de assinatura uma fonte confiável de renda ilegal aos olhos dos cibercriminosos”, comenta Dmitry Kalinin, pesquisador de segurança Kaspersky.
Para evitar ser infectado por um malware de assinatura, os especialistas da Kaspersky recomendam:
– Seja cauteloso com aplicativos, mesmo aqueles de mercados legítimos como o Google Play, e lembre-se de verificar quais permissões você concede aos aplicativos instalados – alguns deles podem representar um risco de segurança;
– Instale um antivírus capaz de detectar esses tipos de Trojans em seu telefone;
– Não instale aplicativos de fontes de terceiros ou software pirata. Os criminosos sabem o quão atrativo são as coisas gratuitas e o exploram por meio de malware oculto em cracks, cheats e mods;
– No caso de malware de assinatura ser detectado em seu telefone, remova imediatamente o aplicativo infectado de seu dispositivo ou desative-o se estiver pré-instalado.
