Fleckpe đã đăng ký hơn 620 nghìn người dùng trên toàn thế giới sử dụng các dịch vụ trả phí mà họ không hề hay biết. Các nhà nghiên cứu của Kaspersky đã phát hiện ra một dòng Trojan mới nhắm mục tiêu vào người dùng Google Play. Được gọi là Fleckpe, Trojan này đi theo mô hình doanh thu dựa trên đăng ký và lây lan qua các ứng dụng di động được ngụy trang dưới dạng trình chỉnh sửa ảnh và trình tải xuống hình nền, đăng ký người dùng các dịch vụ trả phí mà họ không hề hay biết. Kể từ khi được phát hiện vào năm 2022, Fleckpe đã lây nhiễm hơn 620 nghìn thiết bị và đã bắt được nạn nhân trên toàn thế giới.
Bất chấp mọi biện pháp phòng ngừa đã được thực hiện, đôi khi các ứng dụng độc hại vẫn có thể được tải lên Cửa hàng Google Play. Nhóm khó chịu nhất trong số này là các Trojan dựa trên đăng ký. Các Trojan được đề cập khiến nạn nhân của chúng đăng ký các dịch vụ mà họ chưa bao giờ nghĩ đến việc mua mà không cần thông báo trước và những nạn nhân rơi vào bẫy lừa đảo có thể không nhận ra tình hình cho đến khi phí đăng ký được phản ánh trong hóa đơn của họ. Loại phần mềm độc hại này thường tìm đường vào thị trường chính thức cho các ứng dụng Android. Hai ví dụ được phát hiện gần đây là gia đình Jocker và gia đình Harly.
Phát hiện mới nhất của Kaspersky trong lĩnh vực này là một họ Trojan mới có tên Fleckpe, lây lan qua Google Play bằng cách bắt chước các trình chỉnh sửa ảnh, gói hình nền và các ứng dụng khác. Trojan này, giống như những Trojan khác, đăng ký những người dùng vô tình sử dụng các dịch vụ phải trả phí.
Dữ liệu của Kaspersky cho thấy Trojan mới được phát hiện đã hoạt động từ năm 2022. Các nhà nghiên cứu của Kaspersky phát hiện ra rằng Fleckpe đã được cài đặt trên hơn 11 nghìn thiết bị thông qua ít nhất 620 ứng dụng khác nhau. Mặc dù các ứng dụng này đã bị xóa khỏi thị trường khi Kaspersky công bố báo cáo của mình nhưng có thể tội phạm mạng vẫn tiếp tục phát tán phần mềm độc hại này thông qua các nguồn khác. Điều này có nghĩa là số lượt cài đặt thực tế có thể cao hơn.
Ví dụ về ứng dụng bị nhiễm ngựa Trojan trên Google Play:
Ứng dụng Fleckpe bị nhiễm bắt đầu bằng cách đặt một thư viện cục bộ cực kỳ ẩn trên thiết bị, chứa các phần mềm độc hại chịu trách nhiệm giải mã và thực thi các tải trọng độc hại. Tải trọng này liên lạc với máy chủ chỉ huy và kiểm soát của kẻ tấn công và truyền thông tin về thiết bị bị nhiễm, bao gồm thông tin chi tiết về quốc gia và nhà cung cấp dịch vụ. Trang đăng ký trả phí sau đó sẽ được chia sẻ với thiết bị. Trojan bí mật khởi tạo một phiên trình duyệt web và cố gắng thay mặt người dùng đăng ký dịch vụ trả phí. Nếu cần có mã xác nhận để đăng ký, phần mềm cũng truy cập vào thông báo của thiết bị và ghi lại mã xác nhận đã gửi. Do đó, Trojan khiến người dùng mất tiền khi đăng ký dịch vụ trả phí trái với ý muốn của họ. Điều thú vị là điều này không ảnh hưởng đến chức năng của ứng dụng và người dùng có thể tiếp tục chỉnh sửa ảnh hoặc đặt hình nền ở chế độ nền mà không nhận ra rằng mình đang bị tính phí dịch vụ.
Nhà nghiên cứu bảo mật của Kaspersky, Dmitry Kalinin cho biết:
“Các Trojan dựa trên đăng ký gần đây đã bắt đầu trở nên phổ biến đối với những kẻ lừa đảo. Tội phạm mạng sử dụng chúng đang ngày càng chuyển sang các thị trường chính thức như Google Play để phát tán phần mềm độc hại. Sự tinh vi ngày càng tăng của Trojan cho phép chúng vượt qua thành công nhiều biện pháp kiểm soát chống phần mềm độc hại khác nhau do các thị trường triển khai và không bị phát hiện trong thời gian dài. Người dùng bị ảnh hưởng bởi phần mềm này ngay từ đầu không thể tìm ra cách họ đăng ký các dịch vụ được đề cập và không thể phát hiện ngay các đăng ký không mong muốn. Tất cả những điều này làm cho Trojan dựa trên đăng ký trở thành nguồn thu nhập bất hợp pháp đáng tin cậy trong mắt tội phạm mạng.”
Để ngăn ngừa lây nhiễm phần mềm độc hại dựa trên đăng ký, các chuyên gia của Kaspersky khuyến nghị người dùng:
“Hãy cẩn thận với các ứng dụng, bao gồm cả những ứng dụng từ các thị trường hợp pháp như Google Play và kiểm tra xem bạn cấp những quyền gì cho các ứng dụng đã cài đặt. Một số trong số này có thể gây ra rủi ro bảo mật.
Cài đặt phần mềm chống vi-rút trên điện thoại của bạn có thể phát hiện các loại Trojan này, chẳng hạn như Kaspersky Premium.
Không cài đặt ứng dụng từ nguồn của bên thứ ba hoặc các trang web vi phạm bản quyền. Hãy nhớ rằng những kẻ tấn công nhận thức được tình yêu của mọi người đối với những thứ miễn phí và sẽ cố gắng khai thác điều này bằng mọi cách có thể.
“Nếu phát hiện phần mềm độc hại dựa trên đăng ký trên điện thoại của bạn, hãy xóa ngay ứng dụng bị nhiễm khỏi thiết bị của bạn hoặc tắt ứng dụng đó nếu được cài đặt sẵn.”