Le Cheval de Troie Fleckpe, un Cheval de Troie d'abonnement, se propage via des éditeurs photos ou des fonds d'écran, abonnant alors les utilisateurs non avertis à des services payant. Les chercheurs de Kaspersky ont découvert cette nouvelle famille de chevaux de Troie qui cible les utilisateurs de Google Play et indiquent que Fleckpe a infecté plus de 620 000 appareils depuis sa détection en 2022, faisant des victimes à travers le globe. De temps en temps, des applications malveillantes qui peuvent paraitre bénignes de prime abord, sont chargées sur le Google Play Store. Parmi elles, se trouvent des chevaux de Troie dits d'abonnement, qui font partie des plus délicats à traiter. Ils vont passer inaperçu jusqu'à ce qu'une victime remarque qu'elle a été facturée pour des services auxquels elle n'a jamais souhaité souscrire. Ce type de malware se fraie souvent un chemin au sein de la marketplace officielle d'applications Android. Deux exemples récents sont la famille Joker, et la plus récente famille Harly. La toute nouvelle famille, Fleckpe , est la dernière découverte de Kaspersky et se propage via le Google Play store sous le couvert d'éditeurs photos, de packs de fonds d'écran ou d'autres applications de ce type. En réalité, elle abonne l'utilisateur à des services payants sans son consentement. L'application infectée par Fleckpe lance une bibliothèque native très lourdement obfusquée qui contient un dropper malveillant chargé de décrypter et d'exécuter un payload à partir des ressources de l'application. Ce payload établit une connexion avec le serveur de commandes et de contrôle de l'attaquant et transmet des informations à propos de l'appareil infecté et de son propriétaire – notamment le pays. Ensuite, une page d'abonnement payant est fournie. Le cheval de Troie lance ensuite secrètement un navigateur web et tente de s'abonner – sur le dos de l'utilisateur – au service payant. Si l'abonnement requiert un code de confirmation, le malware accède aux notifications de l'appareil pour l'obtenir. De fait, le cheval de Troie abonne l'utilisateur à des services payants sans son consentement, et la victime perd alors de l'argent. Curieusement, les fonctionnalités de l'application ne sont pas affectées et la victime peut continuer à éditer des photos, ou à définir des fonds d'écran sans prendre conscience qu'elle a été facturée pour un service. La télémétrie de Kaspersky montre que le malware cible des utilisateurs principalement en Thaïlande, même si des victimes ont été répertoriées également en Pologne, Malaisie, Indonésie et Singapour. Pour éviter d'être infecté par un malware d'abonnement, les experts de Kaspersky recommandent : – D'être toujours vigilants avec les applications, même celles en provenance des marketplaces légitimes telles que Google Play Store et de vérifier les permissions accordées aux applications installées – certaines peuvent causer un risque de sécurité. – D'installer une solution antivirus capable de détecter ces types de chevaux de Troie sur vos téléphones, telles que Kaspersky Premium – Ne jamais installer d'applications en provenance de sources tierces, ni de logiciels piratés. Les attaquants sont au courant de l'attrait des utilisateurs pour tout ce qui est gratuit, et ils peuvent l'exploiter en y cachant des malwares dans les cheats, les cracks et les mods. – Si un logiciel malveillant d'abonnement est détecté sur votre téléphone, supprimez immédiatement l'application infectée de votre téléphone, ou désactivez-là si elle est préinstallée.
