Selon des chercheurs de Kaspersky, une nouvelle famille de chevaux de Troie qui cible les utilisateurs de Google Play. En effet, le Cheval de Troie d’abonnement, qu’on appelle Fleckpe, se propage via des éditeurs photos ou des fonds d’écran, abonnant alors les utilisateurs non avertis à des services payant. Fleckpe a infecté plus de 620 000 appareils depuis sa détection en 2022, faisant des victimes à travers le globe.
De temps en temps, des applications malveillantes, qui peuvent paraître bénignes de prime abord, sont chargées sur le Google Play Store. Parmi elles, se trouvent des chevaux de Troie dits d’abonnement, qui font partie des plus délicats à traiter. Ils vont passer inaperçu jusqu’à ce qu’une victime remarque qu’elle a été facturée pour des services auxquels elle n’a jamais souhaité souscrire.
La toute nouvelle famille, « Fleckpe », est la dernière découverte de Kaspersky et se propage via le Google Play store sous le couvert d’éditeurs photos, de packs de fonds d’écran ou d’autres applications de ce type. En réalité, elle abonne l’utilisateur à des services payants sans son consentement.
Les données de Kaspersky suggèrent que le cheval de Troie est actif depuis 2022. Les chercheurs de l’entreprise ont trouvé au moins onze applications infectées par Fleckpe, installées sur plus de 620 000 appareils. Même si les applications ont été supprimées de la marketplace à l’heure où le rapport de Kaspersky est publié, il est possible que les cybercriminels continuent de déployer ce malware sur d’autres applications. Ce qui signifie que le nombre réel d’installations est très probablement encore plus élevé.
Un exemple d’application vérolée sur le Google Play Store
L’application infectée par Fleckpe lance une bibliothèque native très lourdement offusquée qui contient un dropper malveillant chargé de décrypter et d’exécuter un payload à partir des ressources de l’application. Ce payload établit une connexion avec le serveur de commandes et de contrôle de l’attaquant et transmet des informations à propos de l’appareil infecté et de son propriétaire – notamment le pays…
De fait, le cheval de Troie abonne l’utilisateur à des services payants sans son consentement, et la victime perd alors de l’argent. Curieusement, les fonctionnalités de l’application ne sont pas affectées et la victime peut continuer à éditer des photos, ou à définir des fonds d’écran sans prendre conscience qu’elle a été facturée pour un service.
La télémétrie de Kaspersky montre que le malware cible des utilisateurs principalement en Thaïlande, même si des victimes ont été répertoriées également en Pologne, Malaisie, Indonésie et Singapour.
« Malheureusement, les chevaux de Troie dits d’abonnement n’ont fait que gagner en popularité auprès des escrocs ces derniers temps. Les cybercriminels qui les utilisent se tournent de plus en plus vers des marketplaces officielles telles que Google Play pour distribuer leur malware. La complexité grandissante des chevaux de Troie leur a permis de bypasser de nombreuses vérifications de malwares faites par les marketplaces et passer, ainsi, inaperçues pendant assez longtemps.
D’après communiqué
