Fleckpe 在不知不觉中订阅了全球超过 620 名用户的付费服务。卡巴斯基研究人员发现了一个针对 Google Play 用户的新木马家族。这种名为 Fleckpe 的木马遵循基于订阅的收入模式，通过伪装成照片编辑器和壁纸下载器的移动应用程序传播，并在他们不知情的情况下订阅付费服务。自 2022 年被发现以来，Fleckpe 已经感染了超过 620 台设备，并在全球范围内诱捕了受害者。

尽管采取了所有预防措施，恶意应用程序仍会不时上传到 Google Play 商店。其中最烦人的是基于群组订阅的木马。这些特洛伊木马程序会在没有通知的情况下为受害者订阅他们从未想过要购买的服务，而诈骗的受害者直到他们的订阅费反映在他们的账单上才意识到这一点。这种类型的恶意软件经常出现在 Android 应用程序的官方市场中。最近发现的两个例子是 Jocker 家族和 Harly 家族。

卡巴斯基在这一领域的最新发现是名为 Fleckpe 的新特洛伊木马家族，它通过模仿照片编辑器、壁纸包和其他应用程序通过 Google Play 传播。与许多其他木马一样，此木马会为不知情的用户订阅付费服务。

卡巴斯基数据显示，新发现的木马自 2022 年以来一直处于活跃状态。卡巴斯基研究人员发现，Fleckpe 通过至少 11 种不同的应用程序安装在超过 620 台设备上。尽管在卡巴斯基报告发布时这些应用程序已从市场上移除，但网络犯罪分子可能会继续通过其他来源分发此恶意软件。这意味着实际下载次数可能更高。

Google Play 上的木马感染应用程序示例：

受感染的 Fleckpe 应用程序首先在设备上放置一个高度伪装的本机库，其中包含负责解密和运行恶意负载的恶意植入程序。此有效载荷联系攻击者的命令和控制服务器，并传输有关受感染设备的信息，包括国家和运营商详细信息。然后与设备共享付费订阅页面。该特洛伊木马会秘密启动网络浏览器会话并尝试代表用户订阅付费服务。如果订阅需要确认码，该软件还会访问设备的通知并捕获发送的确认码。因此，木马通过违背用户意愿订阅付费服务，导致用户蒙受损失。有趣的是，这并不影响应用程序的功能，用户可以继续在后台编辑照片或设置壁纸，而不会意识到他们正在为一项服务付费。

卡巴斯基安全研究员 Dmitry Kalinin 说：

“基于订阅的木马最近在诈骗者中越来越受欢迎。使用它们的网络犯罪分子越来越多地转向 Google Play 等官方市场来传播恶意软件。木马的日益复杂使它们能够成功规避市场实施的各种反恶意软件控制，并在很长一段时间内保持不被发现。受这些软件影响的用户无法首先了解他们是如何订阅相关服务的，也无法立即发现不需要的订阅。所有这些使得基于订阅的木马程序成为网络犯罪分子眼中可靠的非法收入来源。”

卡巴斯基专家建议用户避免基于订阅的恶意软件感染：

“小心使用应用程序，包括来自 Google Play 等合法市场的应用程序，并控制您授予已安装应用程序的权限。其中一些可能会带来安全风险。

在手机上安装可以检测此类木马的杀毒软件，例如卡巴斯基高级版。

不要安装来自第三方来源或盗版网站的应用程序。请记住，攻击者知道人们喜欢免费的东西，并且会以任何可能的方式利用这种情况。