Un reciente descubrimiento está atemorizando a los usuarios de Android, pues al menos 11 aplicaciones fueron contaminadas con un poderoso troyano llamado Fleckpe. De acuerdo con los investigadores de Kaspersky, la nueva familia de virus se dirige únicamente para los internautas que descargan sus aplicaciones en la Google Play Store y de hecho se propaga en las plataformas dedicadas a la edición de fotos y fondos de pantalla. Opera de la siguiente manera: suscribe a la víctima a varios servicios de pago sin su consentimiento y de manera silenciosa. Al momento, los especialistas encontraron que afectó a más de 620 mil dispositivos desde que llegó al proveedor en el 2022, y desgraciadamente las víctimas son de todas partes del mundo.
¿Por qué las apps se “infectan” con troyanos?
De vez en cuando las aplicaciones maliciosas que parecen inofensivas se cargan en la tienda de Google Play. Entre estas se encuentran los troyanos de suscripción, que son algunos de los más complicados, y que a menudo pasan desapercibidos hasta que la víctima se da cuenta de que le han cobrado por servicios que nunca tuvo la intención de comprar. Sin embargo, este tipo de malware frecuentemente llega a la tienda oficial de aplicaciones de Android. Dos ejemplos son las familias Joker y Harly, que fueron recientemente detectadas. La nueva familia de troyanos descubierta por Kaspersky, se llama “Fleckpe”, y se propaga a través del proveedor oficial de este sistema operativo.
Funge bajo la apariencia de apps de edición de fotos, paquetes de fondos de pantalla y otras aplicaciones similares. Es más, suscribe al usuario a servicios pagos sin su consentimiento. Asimismo, los datos que compartió Kaspersky sugieren que el troyano ha estado activo desde 2022. Los investigadores de la empresa han encontrado al menos 11 aplicaciones infectadas con Fleckpe. Aunque estas se eliminaron de la tienda de apps al publicarse el informe de Kaspersky. Los especialistas nos pidieron no confiarnos, pues es posible que los ciberdelincuentes continúen implementando este malware en otras apps, lo que significa que el número real de instalaciones probablemente sea mayor.
¿Cómo opera el malware?
La app infectada inicia una biblioteca nativa muy confusa que contiene un dropper malicioso responsable de descifrar y ejecutar una carga útil desde los activos de la aplicación. Es decir que todo el tiempo opera sin que el usuario se dé cuenta. Finalmente, la carga útil establece una conexión con el servidor de comando y control de los delincuentes digitales y ¡les transmite la información sobre el dispositivo infectado! Incluidos los detalles del país y del operador. Posteriormente, se proporciona una página de suscripción de paga y el troyano abre —en secreto— un navegador web e intenta suscribirse al servicio en nombre del propietario del equipo. Si la suscripción requiere un código de confirmación, el malware accede a las notificaciones del dispositivo para obtenerlo.
Es así que el troyano suscribe a los usuarios al servicio de pago sin su consentimiento, lo que provoca que la víctima pierda dinero. Lo más destacable del caso es que la funcionalidad de la aplicación no se ve afectada y los usuarios pueden continuar editando fotos o configurando los fondos de pantalla sin darse cuenta de que se les ha cobrado. Afortunadamente —para nosotros—, las investigaciones de Kaspersky mostraron que los más afectados fueron los internautas de Tailandia, aunque también se encontraron víctimas en Polonia, Malasia, Indonesia y Singapur.
“Lamentablemente, los troyanos de suscripción solo han ganado popularidad entre los estafadores últimamente. Los ciberdelincuentes que los utilizan recurren cada vez más a mercados oficiales como Google Play para propagar su malware. A menudo, los usuarios afectados no logran descubrir las suscripciones no deseadas de inmediato, y mucho menos descubrir cómo se realizaron en primer lugar. Todo esto convierte a los troyanos de suscripción en una fuente confiable de ingreso ilegal a los ojos de los
