Ερευνητές ασφαλείας ανακάλυψαν ένα νέο wormable Android malware που εμφανίζεται ως εφαρμογή στο Google Play και προσελκύει τους χρήστες υποσχόμενο δωρεάν συνδρομές Netflix. Η Check Point Research (CPR) ανέφερε ότι το “wormable” malware, που ονομάζεται “FlixOnline“, ανακαλύφθηκε στο Google Play Store, και παρουσιάζεται ως νόμιμη εφαρμογή του Netflix. Το app φαίνεται να επικεντρώνεται στη στόχευση της εφαρμογής ανταλλαγής μηνυμάτων WhatsApp.
Δείτε επίσης: Νέο Android malware εμφανίζεται σαν ενημέρωση συστήματος!
Εδώ και περίπου ενάμιση χρόνο, οι άνθρωποι σε όλο τον κόσμο είναι κλεισμένοι στο σπίτι τους λόγω της πανδημίας. Τα στατιστικά δείχνουν ότι τα lockdown έχουν αυξήσει σημαντικά τον αριθμό των συνδρομητών των streaming υπηρεσιών. Το Netflix είναι μια από τις υπηρεσίες που είδαν τεράστια αύξηση στους συνδρομητές τους αυτό το διάστημα. Οι εγκληματίες του κυβερνοχώρου δεν θα μπορούσαν να χάσουν αυτή τη νέα ευκαιρία.
Το κακόβουλο app υπόσχεται στους χρήστες “απεριόριστη ψυχαγωγία” και δύο μήνες δωρεάν συνδρομής στο Netflix, λόγω της πανδημίας.
Δείτε επίσης: Κακόβουλες εφαρμογές του Google Play τοποθετούν Trojan σε συσκευές
Όταν οι χρήστες κατεβάζουν το app, το wormable Android malware αρχίζει να παρακολουθεί τις συνομιλίες των χρηστών στο WhatsApp και να απαντάει αυτόματα σε εισερχόμενα μηνύματα στέλνοντας κακόβουλο περιεχόμενο.
Κατά την εγκατάσταση, η εφαρμογή ζητά overlay permissions, ένα κοινό στοιχείο στην κλοπή credentials. Επίσης, ζητά άδεια για Battery Optimization Ignore, το οποίο εμποδίζει τη συσκευή να κλείσει αυτόματα το λογισμικό για εξοικονόμηση ενέργειας. Επιπλέον, το FlixOnline ζητά notification permissions που επιτρέπουν στο Android malware να έχει πρόσβαση σε ειδοποιήσεις που σχετίζονται με το WhatsApp, ενώ δίνουν και τη δυνατότητα “απόρριψης” ή “απάντησης” σε μηνύματα.
Οι αυτόματες απαντήσεις σε μηνύματα WhatsApp αναφέρουν το εξής:
“2 Months of Netflix Premium Free at no cost For REASON OF QUARANTINE (CORONA VIRUS)* Get 2 Months of Netflix Premium Free anywhere in the world for 60 days. Get it now HERE https:// bit[.]ly/3bDmzUw“.
Σύμφωνα με τους ερευνητές, το κακόβουλο λογισμικό μπορεί να εξαπλωθεί περαιτέρω μέσω κακόβουλων συνδέσμων, να κλέψει δεδομένα συνομιλίας WhatsApp, ενώ επίσης μπορεί να διαδώσει ψευδείς πληροφορίες ή επιβλαβές περιεχόμενο μέσω της υπηρεσίας ανταλλαγής μηνυμάτων.
Δείτε επίσης: Google Play: Αφαιρέθηκε Android barcode scanner app λόγω malware!
Ο κακόβουλος σύνδεσμος που χρησιμοποιείται σε αυτήν την καμπάνια στέλνει τα θύματα σε έναν ψεύτικο ιστότοπο, που μοιάζει με αυτόν του Netflix. Στη συνέχεια, προσπαθεί να αποκτήσει πληροφορίες και στοιχεία πιστωτικών καρτών των χρηστών.
Σύμφωνα με τους ερευνητές, έχουν ήδη επηρεαστεί 500 χρήστες.
Η CPR ενημέρωσε την Google για τα ευρήματά της και το FlixOnline έχει πλέον καταργηθεί από το Play Store. Το WhatsApp ενημερώθηκε επίσης, αλλά δεν υπάρχει ευπάθεια που εκμεταλλεύεται το wormable Android malware, οπότε η υπηρεσία ανταλλαγής μηνυμάτων δεν χρειάστηκε να κάνει κάποια ενέργεια.
Πηγή: ZDNet