Una nueva familia de troyanos, conocida como Fleckpe, ha sido descubierta por los investigadores de Kaspersky

Este tipo de malware se dirige a los usuarios de Google Play y se propaga a través de apps de edición de fotos y fondos de pantalla, suscribiendo al usuario desprevenido a servicios pagos. Se estima que desde su detección en 2022, ha infectado a más de 620,000 dispositivos en todo el mundo.

Las aplicaciones maliciosas que parecen inofensivas se cargan de vez en cuando en la tienda oficial de aplicaciones de Android, y entre ellas se encuentran los troyanos de suscripción, que a menudo pasan desapercibidos hasta que la víctima se da cuenta de que le han cobrado por servicios que nunca quiso adquirir. Este tipo de malware, como las familias Joker y Harly, han sido detectados recientemente en la tienda de Google Play.

La familia Fleckpe es otra de estas aplicaciones maliciosas que logra pasar por los filtros de seguridad de la tienda oficial de aplicaciones de Android. Se propaga a través de Google Play bajo la apariencia de apps de edición de fotos, paquetes de fondos de pantalla y otras aplicaciones, y suscribe al usuario a servicios pagos sin su consentimiento.

Kaspersky ha encontrado al menos 11 aplicaciones infectadas con Fleckpe, las cuales fueron eliminadas de la tienda de apps al publicarse el informe de la empresa. Sin embargo, es posible que los ciberdelincuentes continúen implementando este malware en otras apps, lo que indica que el número real de instalaciones afectadas es probablemente mayor. Se recomienda a los usuarios que descarguen aplicaciones únicamente de fuentes confiables y que estén alerta a cualquier comportamiento sospechoso en su dispositivo.

La app infectada inicia una biblioteca nativa muy confusa que contiene un dropper malicioso responsable de descifrar y ejecutar una carga útil desde los activos de la aplicación. Esta carga útil establece una conexión con el servidor de comando y control de los atacantes y transmite información sobre el dispositivo infectado, incluidos los detalles del país y del operador.

Posteriormente, se proporciona una página de suscripción de paga y el troyano abre en secreto un navegador web e intenta suscribirse al servicio en nombre del usuario. Si la suscripción requiere un código de confirmación, el malware accede a las notificaciones del dispositivo para obtenerlo.

De tal forma, el troyano suscribe a los usuarios al servicio de pago sin su consentimiento, lo que provoca que la víctima pierda dinero. Curiosamente, la funcionalidad de la aplicación no se ve afectada y los usuarios pueden continuar editando fotos o configurando fondos de pantalla sin darse cuenta de que se les ha cobrado.

La telemetría de Kaspersky muestra que el malware se dirigió principalmente a usuarios de Tailandia, aunque también se encontraron víctimas en Polonia, Malasia, Indonesia y Singapur.

“Lamentablemente, los troyanos de suscripción solo han ganado popularidad entre los estafadores últimamente. Los ciberdelincuentes que los utilizan recurren cada vez más a mercados oficiales como Google Play para propagar su malware. La creciente complejidad de los troyanos les ha permitido eludir con éxito muchos controles antimalware implementados por los mercados, permaneciendo sin ser detectados durante largos períodos de tiempo”, comentó Dmitry Kalinin, investigador de seguridad en Kaspersky.

Para evitar ser infectado por un malware de suscripción, los expertos de Kaspersky recomiendan:

• Tener cuidado con las aplicaciones, incluso aquellas de mercados legítimos como Google Play y recuerda verificar qué permisos otorgas a las aplicaciones instaladas; algunas de ellas pueden representar un riesgo para tu seguridad.
• Instala en tu teléfono un producto antivirus capaz de detectar este tipo de troyanos como Kaspersky Premium.
• No instales aplicaciones de fuentes de terceros o software pirateado. Los atacantes saben la preferencia de las personas por todo lo gratuito y la explotan a través de malware oculto en cracks, trucos y mods.
• En caso de que detectes malware de suscripción en tu teléfono, elimina la aplicación infectada de tu dispositivo inmediatamente o desactívala si está preinstalada.