Специалисты «Лаборатории Касперского» обнаружили очередное троянское приложение Fleckpe, которое распространяется через официальный каталог Google Play. Вредоносный модуль маскируется под различные популярные приложения, суммарное количество загрузок превысило 600 тысяч. Первая активность была зафиксирована еще в начале 2022 года.
При запуске инфицированного приложения подгружается зашифрованная библиотека, содержащая вредоносный дроппер. После расшифровки модуль автоматически запускается и запускает дополнительную нагрузку из ресурсов приложения.
В случае успешного запуская дополнительные модули связываются с управляющим сервером и передают информацию о зараженном устройстве, включая коды Mobile Network Code и Mobile Country Code, которые позволяют определить страну и сотового оператора. В ответ сервер присылает ссылку на страницу с платной подпиской. Вирус загружает страницу и пытается осуществить платную подписку. Если сервис требует код подтверждения из SMS, утилита пытается перехватить уведомление. Соответствующие права доступа запрашиваются в процессе установки программы.
В большинстве случаев вся активность осуществляется в фоновом режиме, при этом пользователь может использовать функционал загруженного приложения. Это может быть редактор для фотографий или утилита для установки обоев.