11款訂閱木馬程式溜進Google Play，波及62萬個裝置

卡巴斯基（Kaspersky）本周揭露，有11款夾帶新一代訂閱木馬程式Fleckpe的Android程式成功溜進了Google Play，這些程式多半是照片編輯或是桌布等熱門程式，估計至少已被安裝在62萬個裝置上，大多數受害者位於泰國，但波蘭、馬來西亞、印尼與新加坡都有人受害。

分析顯示，當使用者啟用夾帶Fleckpe的行動程式時，它會載入一個高度混淆的原生程式庫，該程式庫內含一個下載器，可用來解壓縮及執行一個來自程式資產的酬載，該酬載即會與駭客所設置的C&C伺服器通訊，傳送受害裝置的資訊，諸如行動裝置國家代碼（MCC）與行動裝置網路代碼（MNC）等，辨識裝置的所在位置及所使用的電信服務。

繼之該C&C伺服器即會回傳一個付費訂閱頁面，Fleckpe會利用一個不可見的瀏覽器開啟該頁面，並企圖替使用者執行訂閱，若需要輸入確認碼才能訂閱，Fleckpe也會自裝置的通知功能取得確認碼並完成訂閱程序。值得注意的是，這類的程式在安裝時便已向使用者取得存取通知的權限。

使用者仍能正常使用這些惡意程式所描述的功能，但並不知道自己已經付費訂閱了服務。

研究人員推測Fleckpe自2022年就開始運作，也看到許多不同的版本，最近的版本把絕大多數的訂閱程式碼從酬載移至原生程式庫，讓酬載只擔任攔截通知與檢視網頁的中介角色，以令安全工具更難偵測。

由於Fleckpe內建了泰國的MCC與MNC代碼以進行測試，顯示它主要鎖定泰國市場，但遙測透露其它國家亦有使用者受害。

卡巴斯基認為，愈來愈複雜的木馬程式設計讓它們閃過了程式市集的眾多安全檢查，而且很久才被發現，而受害者則通常是在收到帳單之後才察覺有異，這些都讓訂閱木馬成為駭客眼中用來賺進不法收益的可靠途徑。

研究人員亦提醒，他們所發現的11個暗藏Fleckpe的惡意程式都已被Google下架，但或許有其它同樣植入Fleckpe的程式尚未被發現，建議使用者不要釋出不必要的權限予行動程式，也應安裝防毒產品以策安全。