Les chercheurs de Kaspersky ont découvert une nouvelle famille de chevaux de Troie qui cible les utilisateurs de Google Play. Le Cheval de Troie d’abonnement, qu’on appelle Fleckpe, se propage via des éditeurs photos ou des fonds d’écran, abonnant alors les utilisateurs non avertis à des services payant. Fleckpe a infecté plus de 620 000 appareils depuis sa détection en 2022, faisant des victimes à travers le globe.
De temps en temps, des applications malveillantes qui peuvent paraitre bénignes de prime abord, sont chargées sur le Google Play Store. Parmi elles, se trouvent des chevaux de Troie dits d’abonnement, qui font partie des plus délicats à traiter. Ils vont passer inaperçu jusqu’à ce qu’une victime remarque qu’elle a été facturée pour des services auxquels elle n’a jamais souhaité souscrire. Ce type de malware se fraie souvent un chemin au sein de la marketplace officielle d’applications Android. Deux exemples récents sont la famille Joker, et la plus récente famille Harly.
La toute nouvelle famille, « Fleckpe », est la dernière découverte de Kaspersky et se propage via le Google Play store sous le couvert d’éditeurs photos, de packs de fonds d’écran ou d’autres applications de ce type. En réalité, elle abonne l’utilisateur à des services payants sans son consentement.
Les données de Kaspersky suggèrent que le cheval de Troie est actif depuis 2022. Les chercheurs de l’entreprise ont trouvé au moins onze applications infectées par Fleckpe, installées sur plus de 620 000 appareils. Même si les applications ont été supprimées de la marketplace à l’heure où le rapport de Kaspersky est publié, il est possible que les cybercriminels continuent de déployer ce malware sur d’autres applications. Ce qui signifie que le nombre réel d’installations est très probablement encore plus élevé.
L’application infectée par Fleckpe lance une bibliothèque native très lourdement obfusquée qui contient un dropper malveillant chargé de décrypter et d’exécuter un payload à partir des ressources de l’application. Ce payload établit une connexion avec le serveur de commandes et de contrôle de l’attaquant et transmet des informations à propos de l’appareil infecté et de son propriétaire – notamment le pays. Ensuite, une page d’abonnement payant est fournie. Le cheval de Troie lance ensuite secrètement un navigateur web et tente de s’abonner – sur le dos de l’utilisateur – au service payant. Si l’abonnement requiert un code de confirmation, le malware accède aux notifications de l’appareil pour l’obtenir.
De fait, le cheval de Troie abonne l’utilisateur à des services payants sans son consentement, et la victime perd alors de l’argent. Curieusement, les fonctionnalités de l’application ne sont pas affectées et la victime peut continuer à éditer des photos, ou à définir des fonds d’écran sans prendre conscience qu’elle a été facturée pour un service.
La télémétrie de Kaspersky montre que le malware cible des utilisateurs principalement en Thaïlande, même si des victimes ont été répertoriées également en Pologne, Malaisie, Indonésie et Singapour.
Communiqué
