Mopic - stock.adobe.com
FlixOnline para Android es una app maliciosa que se disfraza de Netflix
Check Point Research notificó sobre esta aplicación maliciosa y los detalles de su investigación a Google. Aunque ya se eliminó de la Play Store, la app se descargó aproximadamente 500 veces en dos meses.
Investigadores de Check Point Research (CPR), división de Inteligencia de Amenazas de Check Point Software Technologies, descubrieron una amenaza maliciosa en Google Play Store que se propagaba a través de los mensajes de WhatsApp. El malware estaba diseñado con capacidad para responder automáticamente a los mensajes entrantes con mensajes provenientes de un servidor remoto en nombre de sus víctimas.
Al responder a los mensajes entrantes de WhatsApp con una payload o carga útil de un servidor de comando y control (C&C), este método podría permitir a los ciberdelincuentes distribuir ataques de phishing, propagar malware adicional difundir información falsa o robar credenciales y datos bancarios, así como tener acceso a las conversaciones de los usuarios.
CPR encontró el software malicioso escondido en una aplicación falsa de Netflix en Play Store llamada FlixOnline, que prometía "entretenimiento ilimitado" desde cualquier parte del mundo. La app maliciosa enviaba la siguiente respuesta a sus víctimas, atrayéndolas con la oferta de un servicio gratuito de Netflix:
“2 Months of Netflix Premium Free at no cost For REASON OF QUARANTINE (CORONA VIRUS)* Get 2 Months of Netflix Premium Free anywhere in the world for 60 days. Get it now HERE https://bit[.]ly/3bDmzUw.” ("2 Meses de Netflix Premium Gratis Por Motivo de Cuarentena (CORONA VIRUS) * Consigue 2 Meses de Netflix Premium gratis en cualquier parte del mundo durante 60 días. Consíguelo ahora AQUÍ https://bit[.]ly/3bDmzUw".)
Mediante esta técnica, un ciberdelincuente podía llevar a cabo una amplia gama de actividades maliciosas:
- Propagar malware adicional a través de enlaces maliciosos
- Robar datos de las cuentas de WhatsApp de los usuarios
- Difundir mensajes falsos o maliciosos a los contactos y grupos de WhatsApp de los usuarios (por ejemplo, grupos relacionados con el trabajo)
Cómo funciona el malware
De acuerdo con Check Point Software, cuando la aplicación se descarga de la Play Store y se instala, solicita permisos de 'Superposición', para 'Ignorar Optimización de la Batería' y 'Notificación'. El propósito detrás de la obtención de dichos permisos es:
- La superposición permite a una aplicación maliciosa crear nuevas ventanas encima de otras aplicaciones. Suele solicitarlo el software malicioso para crear una pantalla de "Inicio de sesión" falsa para otras aplicaciones, con el objetivo de robar las credenciales de la víctima.
- Ignorar las optimizaciones de la batería evita que el malware se apague por la propia rutina de la misma, incluso después de estar inactivo durante un período prolongado.
- El permiso más destacado es el acceso a las notificaciones, más concretamente, al servicio Notification Listener. Una vez habilitado, este permiso proporciona al malware acceso a todas las notificaciones relacionadas con los mensajes enviados al dispositivo, y la capacidad de realizar automáticamente acciones designadas como "descartar" y "responder" a los mismos.
“Si se conceden estos permisos, el malware tiene todo lo que necesita para empezar a distribuir sus payloads maliciosos y emitir respuestas autogeneradas a los mensajes entrantes de WhatsApp, a través de las que es posible robar datos, causar interrupciones en grupos de chat e incluso extorsionar enviando datos sensibles a todos los contactos del usuario”, advierten la división de investigación CPR.
CPR notificó a Google de la existencia de la aplicación maliciosa y ha compartido los detalles de su investigación, por lo que la aplicación fue eliminada rápidamente de la Play Store, pero en el transcurso de dos meses, la aplicación FlixOnline descargó aproximadamente 500 veces.
Para protegerse contra este tipo de aplicaciones maliciosas, Check Point aconseja instalar una solución de seguridad en el dispositivo, descargar aplicaciones sólo de los mercados oficiales y mantener el dispositivo y las aplicaciones actualizadas.
