Investigadores de la empresa de seguridad informática Kaspersky descubrieron una nueva familia de programas maliciosos, englobados como troyano Fleckpe, que se dirige a los usuarios de Google Play.
El troyano de suscripción, denominado Fleckpe, se propaga a través de aplicaciones de edición de fotos y fondos de pantalla, y suscribe al usuario desprevenido a servicios pagos.
Infectó más de 620 mil dispositivos desde que se detectó en el 2022, con víctimas en todo el mundo.
De vez en cuando, aplicaciones maliciosas que parecen inofensivas se cargan en la tienda de Google Play.
Entre estas se encuentran los troyanos de suscripción, que son algunos de los más complicados, y que a menudo pasan desapercibidos hasta que la víctima se da cuenta de que le han cobrado por servicios que nunca tuvo la intención de comprar.
Sin embargo, este tipo de programa maligno llega con frecuencia a la tienda oficial de aplicaciones de Android. Dos ejemplos son la familia Joker y la familia Harly, recientemente descubierta.
Fleckpe, la nueva familia de troyanos descubierta por Kaspersky, se propaga a través de Google Play bajo la apariencia de aplicaciones de edición de fotos, paquetes de fondos de pantalla y otras similares. Suscribe al usuario a servicios pagos sin su consentimiento.
Datos de Kaspersky, que desde esta compañía me compartieron, sugieren que el troyano está activo desde el 2022.
Los investigadores de la empresa encontraron al menos 11 aplicaciones infectadas con el troyano Fleckpe, que se instalaron en más de 620 mil dispositivos.
Entre las aplicaciones afectadas se encuentran las siguientes:
- Beauty Slimming Photo Editor
- Photo Effect Editor
- Gif Camera Editor Pro
- Night Cam Rea Pro
- Microclip Video Editor
- Toolbox Photo Editor
- H4KS Wallpaper
- Beauty Camera Plus Photo Editor.
Una de las aplicaciones infectadas por el troyano Fleckpe.
¿Cómo funciona el troyano Fleckpe?
Aunque las aplicaciones se eliminaron de la tienda de aplicaciones al publicarse el informe de Kaspersky, es posible que los ciberdelincuentes continúen la implementación de este programa maligno en otras aplicaciones, lo que significa que el número real de instalaciones probablemente sea mayor.
La aplicación infectada inicia una biblioteca nativa que contiene un «dropper» malicioso responsable de descifrar y ejecutar una carga útil desde los activos de la aplicación.
Esta carga útil establece una conexión con el servidor de comando y control de los atacantes y transmite información sobre el dispositivo infectado, incluidos los detalles del país y del operador.
Luego se proporciona una página de suscripción paga y el troyano abre en secreto un navegador web e intenta suscribirse al servicio de pago en nombre del usuario.
Si la suscripción requiere un código de confirmación, el programa maligno accede a las notificaciones del dispositivo para obtenerlo.
De tal forma, el troyano suscribe a los usuarios a un servicio pago sin su consentimiento, lo que provoca que la víctima pierda dinero.
La funcionalidad de la aplicación no se ve afectada y los usuarios pueden continuar con la edición de fotos o la configuración de los fondos de pantalla sin darse cuenta de que se les ha cobrado un servicio.
Kaspersky encontró que el programa maligno se dirigió principalmente a usuarios de Tailandia, aunque también se encontraron víctimas en Polonia, Malasia, Indonesia y Singapur.
Más información sobre el troyano Fleckpe en la nota propia que publiqué en iProfesional aquí.
Si te gustó o sirvió algo que publiqué, te ofrezco dos alternativas para agradecer y permitir la continuidad de mi trabajo en Bahía César, haciendo clic sobre ellas:
