Nueva familia de troyanos que se dirige a los usuarios de Google Play

Kaspersky han descubierto una nueva familia de troyanos que se dirige a los usuarios de Google Play. El troyano de suscripción, denominado Fleckpe, se propaga a través de apps de edición de fotos y fondos de pantalla, suscribiendo al usuario desprevenido a servicios pagos. Fleckpe ha infectado más de 620,000 dispositivos desde que se detectó en 2022, con víctimas en todo el mundo.

De vez en cuando, aplicaciones maliciosas que parecen inofensivas se cargan en la tienda de Google Play. Entre estas se encuentran los troyanos de suscripción, que son algunos de los más complicados, y que a menudo pasan desapercibidos hasta que la víctima se da cuenta que le han cobrado por servicios que nunca tuvo la intención de comprar. Sin embargo, este tipo de malware frecuentemente llega a la tienda oficial de aplicaciones de Android. Dos ejemplos son la familia Joker y la familia Harly, recientemente descubierta.

La nueva familia de troyanos descubierta por Kaspersky, denominada “Fleckpe”, se propaga a través de Google Play bajo la apariencia de apps de edición de fotos, paquetes de fondos de pantalla y otras aplicaciones. Es más, suscribe al usuario a servicios pagos sin su consentimiento.

Este troyano ha estado activo desde 2022. Los investigadores  han encontrado al menos 11 aplicaciones infectadas con Fleckpe, que se han instalado en más de 620,000 dispositivos.

Ejemplo de app troyanizada en Google Play

La app infectada inicia una biblioteca nativa muy ofuscada que contiene un dropper malicioso responsable de descifrar y ejecutar una carga útil desde los activos de la aplicación. Esta carga útil establece una conexión con el servidor de comando y control de los atacantes y transmite información sobre el dispositivo infectado, incluidos los detalles del país y del operador. Subsecuentemente, se proporciona una página de suscripción paga y el troyano abre en secreto un navegador web e intenta suscribirse al servicio de pago en nombre del usuario. Si la suscripción requiere un código de confirmación, el malware accede a las notificaciones del dispositivo para obtenerlo.

De tal forma, el troyano suscribe a los usuarios a un servicio de pago sin su consentimiento, lo que provoca que la víctima pierda dinero. Curiosamente, la funcionalidad de la aplicación no se ve afectada y los usuarios pueden continuar editando fotos o configurando fondos de pantalla sin darse cuenta de que se les ha cobrado un servicio.

Para evitar ser infectado por un malware de suscripción, los expertos de esta compañía recomiendan:

• Tener cuidado con las aplicaciones, incluso aquellas de mercados legítimos como Google Play. Recordar verificar qué permisos otorga a las aplicaciones instaladas; algunas de ellas pueden representar un riesgo para la seguridad.
• Instalar en su teléfono un producto antivirus capaz de detectar este tipo de troyanos.
• No instalar aplicaciones de fuentes de terceros o software pirateado. Los atacantes saben la preferencia de las personas por todo lo gratuito y la explotan a través de malware oculto en cracks, trucos y mods.
• En caso de que se detecte malware de suscripción en su teléfono, elimine la aplicación infectada de su dispositivo inmediatamente o desactívela si está preinstalada.