Pesquisadores da Kaspersky descobriram uma nova família de Trojans que tem como alvo utilizadores do Google Play. O Trojan de assinatura, apelidado de Fleckpe, se espalha principalmente através de aplicativos de edição de fotos e papéis de parede para celular, inscrevendo a vítima em serviços pagos, sem sua consciência. Fleckpe infectou mais de 620 mil dispositivos em todo o mundo desde que foi detectado em 2022.
Os pesquisadores da Kaspersky encontraram pelo menos 11 aplicativos infectados, que foram removidos do mercado quando o relatório da empresa foi publicado. Porém, é possível que os cibercriminosos continuem implantando esse malware em outros aplicativos, fazendo com que o número real de instalações provavelmente seja maior.
Exemplo de aplicativo com trojan no Google Play
O app infectado com o Fleckpe lança um malware desenvolvido para instalar vírus no aparelho, que é responsável por descriptografar e executar uma carga útil dos ativos do aplicativo. Essa carga estabelece conexão com o servidor de comando e controle dos invasores e transmite informações sobre o dispositivo infectado, incluindo os detalhes da operadora da vítima. Depois disso, uma página de assinatura paga é fornecida.
O Trojan então lança secretamente um navegador da web e tenta se inscrever no serviço pago em nome do usuário. Se a assinatura exigir um código de confirmação, o malware acessa as notificações do dispositivo para obtê-lo.
Assim, o Trojan inscreve as pessoas em um serviço pago sem consentimento, resultando na perda de dinheiro. Curiosamente, a funcionalidade do aplicativo permanece inalterada, possibilitando que as fotos continuem sendo editadas e que papéis de parede sejam definidos sem que a vítima perceba que foi cobrada por um serviço.
"Infelizmente, a popularidade dos trojans de assinatura só cresce entre os fraudadores. Os cibercriminosos que os usam têm se voltado cada vez mais para mercados oficiais como o Google Play para espalhar seu malware. A crescente complexidade dos Trojans permitiu que eles contornassem com sucesso muitas verificações antimalware implementadas pelos serviços de compra, impossibilitando que sejam detectados. As vítimas afetadas geralmente não conseguem descobrir as assinaturas indesejadas imediatamente, muito menos descobrir como elas aconteceram. Tudo isso torna os trojans de assinatura uma fonte confiável de renda ilegal aos olhos dos cibercriminosos", comenta Dmitry Kalinin, pesquisador de segurança Kaspersky.