El malware de Android infecta a los posibles ladrones de Netflix a través de WhatsApp


El malware de Android infecta a los posibles ladrones de Netflix a través de WhatsApp

El malware de Android recién descubierto que se encuentra en Google Play Store disfrazado de una herramienta de Netflix está diseñado para propagarse automáticamente a otros dispositivos utilizando las respuestas automáticas de WhatsApp a los mensajes entrantes.

Los investigadores de Check Point Research (CPR) descubrieron este nuevo malware disfrazado como una aplicación llamada FlixOnline e intentar atraer a posibles víctimas con la promesa de acceso gratuito al contenido de Netflix.

Los investigadores de RCP filtraron responsablemente sus resultados de búsqueda a Google, que rápidamente desmontó y eliminó la aplicación maliciosa de Play Store.

La aplicación maliciosa FlixOnline se descargó unas 500 veces durante los dos meses que estuvo disponible para su descarga en la tienda.

Índice()

    Empuje sitios de phishing a través de respuestas automáticas de WhatsApp

    Una vez que la aplicación está instalada en un dispositivo Android desde Google Play Store, el malware lanza un servicio que requiere superposición, omite la optimización de la batería y los permisos de notificación.

    Una vez que se hayan otorgado los permisos, el malware podrá generar superposiciones en cualquier ventana de la aplicación con fines de robo de credenciales, evitar que el dispositivo detenga su proceso para optimizar el consumo de energía, acceder a las notificaciones de la aplicación y administrar o responder mensajes.

    Luego comienza a monitorear las nuevas notificaciones de WhatsApp para responder automáticamente a todos los mensajes entrantes utilizando cargas útiles de texto personalizadas recibidas del servidor de comando y control y preparadas por sus operadores.

    "La técnica aquí es secuestrar la conexión a WhatsApp mediante la captura de notificaciones, junto con la capacidad de tomar acciones predefinidas, como 'ignorar' o 'responder' a través del administrador de notificaciones", dijo Aviran Hazum, gerente de Inteligencia Móvil en Check Point. .

    "El hecho de que el malware haya podido enmascararse tan fácilmente y, finalmente, eludir las protecciones de Play Store genera algunas señales de alerta".

    Check Point dijo que las respuestas automáticas observadas en esta campaña redirigieron a las víctimas a un sitio falso de Netflix que intentó recopilar sus credenciales e información de tarjetas de crédito.

    FlixOnline
    Imagen: Check PointResearch

    Respuestas maliciosas utilizadas para la difusión automática

    Con este malware, los atacantes podrían realizar diversas actividades maliciosas, que incluyen:

    • Difundir malware adicional a través de enlaces maliciosos
    • Robar datos de las cuentas de WhatsApp de los usuarios
    • Difundir mensajes falsos o maliciosos a los contactos y grupos de WhatsApp de los usuarios (por ejemplo, grupos de trabajo)
    • Extorsionar a los usuarios amenazando con enviar datos confidenciales de WhatsApp o conversaciones a todos sus contactos.

    Este malware de Android con gusanos "señala que los usuarios deben tener cuidado con los enlaces de descarga o los archivos adjuntos que reciben a través de WhatsApp u otras aplicaciones de mensajería, incluso cuando parecen provenir de contactos o grupos de mensajería de confianza", concluyó Check Point.

    "Aunque CPR ha ayudado a detener esta campaña de malware, sospechamos que es probable que la familia de malware identificada se quede, ya que puede volver a varias aplicaciones en Play Store".

    Los indicadores de compromiso (IOC), incluidos los hash de malware de muestra y la dirección del servidor C2, están disponibles al final del informe de Check Point.

    Otro malware de Android disfrazado como una actualización del sistema descubierta por los investigadores de Zimperium en tiendas de aplicaciones de Android de terceros ha proporcionado a los actores de amenazas funciones de software espía diseñadas para activarse automáticamente siempre que haya nueva información lista para su exfiltración.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir