Les chercheurs de Kaspersky ont découvert une nouvelle famille de chevaux de Troie qui cible les utilisateurs de Google Play. Le Cheval de Troie d’abonnement, qu’on appelle Fleckpe, se propage via des éditeurs photos ou des fonds d’écran, abonnant alors les utilisateurs non avertis à des services payant. Fleckpe a infecté plus de 620 000 appareils depuis sa détection en 2022, faisant des victimes à travers le globe.
De temps en temps, des applications malveillantes qui peuvent paraître bénignes de prime abord, sont chargées sur le Google Play Store. Parmi elles, se trouvent des chevaux de Troie dits d’abonnement, qui font partie des plus délicats à traiter. Ils vont passer inaperçu jusqu’à ce qu’une victime remarque qu’elle a été facturée pour des services auxquels elle n’a jamais souhaité souscrire. Ce type de malware se fraie souvent un chemin au sein de la marketplace officielle d’applications Android. Deux exemples récents sont la famille Joker, et la plus récente famille Harly.
La toute nouvelle famille, « Fleckpe », est la dernière découverte de Kaspersky et se propage via le Google Play store sous le couvert d’éditeurs photos, de packs de fonds d’écran ou d’autres applications de ce type. En réalité, elle abonne l’utilisateur à des services payants sans son consentement.
Les données de Kaspersky suggèrent que le cheval de Troie est actif depuis 2022. Les chercheurs de l’entreprise ont trouvé au moins onze applications infectées par Fleckpe, installées sur plus de 620 000 appareils. Même si les applications ont été supprimées de la marketplace à l’heure où le rapport de Kaspersky est publié, il est possible que les cybercriminels continuent de déployer ce malware sur d’autres applications. Ce qui signifie que le nombre réel d’installations est très probablement encore plus élevé.
L’application infectée par Fleckpe lance une bibliothèque native très lourdement obfusquée qui contient un dropper malveillant chargé de décrypter et d’exécuter un payload à partir des ressources de l’application. Ce payload établit une connexion avec le serveur de commandes et de contrôle de l’attaquant et transmet des informations à propos de l’appareil infecté et de son propriétaire – notamment le pays. Ensuite, une page d’abonnement payant est fournie. Le cheval de Troie lance ensuite secrètement un navigateur web et tente de s’abonner – sur le dos de l’utilisateur – au service payant. Si l’abonnement requiert un code de confirmation, le malware accède aux notifications de l’appareil pour l’obtenir.
De fait, le cheval de Troie abonne l’utilisateur à des services payants sans son consentement, et la victime perd alors de l’argent. Curieusement, les fonctionnalités de l’application ne sont pas affectées et la victime peut continuer à éditer des photos, ou à définir des fonds d’écran sans prendre conscience qu’elle a été facturée pour un service.
La télémétrie de Kaspersky montre que le malware cible des utilisateurs principalement en Thaïlande, même si des victimes ont été répertoriées également en Pologne, Malaisie, Indonésie et Singapour.
« Malheureusement, les chevaux de Troie dits d’abonnement n’ont fait que gagner en popularité auprès des escrocs ces derniers temps. Les cybercriminels qui les utilisent se tournent de plus en plus vers des marketplaces officielles telles que Google Play pour distribuer leur malware. La complexité grandissante des chevaux de Troie leur ont permis de bypasser de nombreuses vérifications de malwares faites par les marketplaces et d’ainsi, passer inaperçues pendant assez longtemps. Les utilisateurs affectés ne découvrent généralement pas tout de suite les abonnements indésirables, et encore moins la manière dont ils sont apparus. Tout cela fait des chevaux de Troie d’abonnement une source fiable de revenus illégaux aux yeux des cybercriminels, » commente Dmitry Kalinin, chercheur en sécurité chez Kaspersky.