La aplicación de Netflix falsa en Google Play Store propaga malware a través de WhatsApp

Los investigadores de Check Point Research (CPR) dijeron el miércoles que descubrieron recientemente un nuevo e innovador malware malicioso en Google Play Store que se propaga a través de las conversaciones de WhatsApp de los usuarios móviles y también puede enviar más contenido malicioso a través de respuestas automáticas a los mensajes entrantes de WhatsApp.

Este método único permite a los actores de amenazas distribuir ataques de phishing, difundir información falsa o robar credenciales y datos de las cuentas de WhatsApp de los usuarios, y más.

Llamada ‘FlixOnline’, la aplicación es un servicio falso que pretende permitir a los usuarios ver contenido de Netflix de todo el mundo en sus móviles de forma gratuita. Sin embargo, en lugar de permitir que el usuario móvil vea el contenido de Netflix, la aplicación monitorea las notificaciones de WhatsApp del usuario y envía respuestas automáticas a los mensajes entrantes usando el contenido que recibe de un servidor de comando y control remoto (C&C).

El malware envía la siguiente respuesta a sus víctimas, atrayéndolas con la oferta de un servicio gratuito de Netflix:

“2 meses de Netflix Premium gratis sin costo POR MOTIVO DE CUARENTENA (CORONA VIRUS) * Obtenga 2 meses de Netflix Premium gratis en cualquier parte del mundo durante 60 días. Consíguelo ahora AQUÍ https: // bit[.]ly / 3bDmzUw “.

Con esta técnica, un actor de amenazas podría realizar una amplia gama de actividades maliciosas:

  • Difundir más malware a través de enlaces maliciosos
  • Robar datos de las cuentas de WhatsApp de los usuarios
  • Difundir mensajes falsos o maliciosos a los contactos y grupos de WhatsApp de los usuarios (por ejemplo, grupos relacionados con el trabajo)
  • Extorsionar a los usuarios amenazándolos con enviar datos confidenciales de WhatsApp o conversaciones a todos sus contactos.

Cuando la aplicación se descarga de Play Store y se instala, el malware inicia un servicio que solicita los permisos “Superposición”, “Ignorar optimización de la batería” y “Notificación”. El propósito de obtener estos permisos es:

  • La superposición permite que una aplicación maliciosa cree nuevas ventanas sobre otras aplicaciones. El malware generalmente lo solicita para crear una pantalla de “Inicio de sesión” falsa para otras aplicaciones, con el objetivo de robar las credenciales de la víctima.
  • Ignorar las optimizaciones de la batería evita que el malware se apague mediante la rutina de optimización de la batería del dispositivo, incluso después de que esté inactivo durante un período prolongado.
  • El permiso más destacado es el acceso a notificaciones, más específicamente, el servicio de escucha de notificaciones. Una vez habilitado, este permiso proporciona al malware acceso a todas las notificaciones relacionadas con los mensajes enviados al dispositivo y la capacidad de realizar automáticamente acciones designadas como “descartar” y “responder” a los mensajes recibidos en el dispositivo.

Si se otorgan los permisos, el malware tiene todo lo que necesita para comenzar a distribuir sus cargas útiles maliciosas y enviar respuestas autogeneradas a los mensajes entrantes de WhatsApp utilizando la carga útil recibida del servidor C&C.

“Este malware de Android ‘desparasitante’ presenta nuevas técnicas innovadoras y peligrosas para propagarse y para manipular o robar datos de aplicaciones confiables como WhatsApp”, escribieron los investigadores de ciberseguridad entrada en el blog.

“Destaca que los usuarios deben tener cuidado con los enlaces de descarga o los archivos adjuntos que reciben a través de WhatsApp u otras aplicaciones de mensajería, incluso cuando parecen provenir de contactos de confianza o grupos de mensajería”, advirtieron.

Tras el descubrimiento del malware, Check Point Research notificó a Google sobre la aplicación maliciosa y los detalles de su investigación. Google eliminó rápidamente la aplicación de Play Store. En el transcurso de 2 meses, la aplicación “FlixOnline” se descargó aproximadamente 500 veces.

Los investigadores de Check Point han aconsejado a los usuarios afectados por el malware que eliminen la aplicación de su dispositivo y cambien sus contraseñas.

About the Author

Leave a Reply

Your email address will not be published. Required fields are marked *