Este peligroso malware ofrece Netfllix gratis, pero en realidad toma el control de WhatsApp
Un malware de Android recién descubierto estaba disponible en la Play Store de Google disfrazado de una aplicación para obtener Netflix gratis. No obstante, estaba diseñado para propagarse automáticamente a otros dispositivos mediante las respuestas automáticas de WhatsApp a los mensajes entrantes.
Los investigadores de Check Point Research (CPR) descubrieron este nuevo malware disfrazado de una aplicación llamada “FlixOnline”. Este malware intentaba atraer a posibles víctimas con promesas de acceso gratuito al contenido de Netflix.
Los investigadores de CPR revelaron responsablemente sus hallazgos de la investigación a Google, quien rápidamente deshabilitó y eliminó la aplicación maliciosa de Play Store.
La aplicación maliciosa FlixOnline se descargó aproximadamente 500 veces durante los dos meses que estuvo disponible para su descarga en la tienda.
Redirigiendo a sitios de phishing a través de respuestas automáticas de WhatsApp
Una vez que la aplicación se instalaba en un dispositivo Android desde Google Play Store, esta comenzaba a actuar. El malware iniciaba un servicio que solicitaba superposición, ignorar la optimización de la batería y permisos de notificación.
Después de otorgar los permisos, el malware podría generar superposiciones en cualquier ventana de la aplicación con fines de robo de credenciales. Además, bloqueaba el dispositivo para que no cerrara su proceso para optimizar el consumo de energía, obtener acceso a las notificaciones de la aplicación y administrar o responder a los mensajes.
Posteriormente comenzaba a monitorear las nuevas notificaciones de WhatsApp para responder automáticamente a todos los mensajes entrantes. Para lograr este cometido, el malware utilizaba payloads de texto personalizados recibidos del servidor de comando y control y diseñadas por sus operadores.
“La técnica aquí era secuestrar la conexión a WhatsApp. Esto lo realizaba capturando notificaciones y además tenía la capacidad de tomar acciones predefinidas, como ‘descartar’ o ‘responder’ a través del Administrador de notificaciones”.
Aviran Hazum – Gerente de Inteligencia Móvil en Check Point
“El hecho de que el malware se haya podido disfrazar tan fácilmente y, en última instancia, eludir las protecciones de Play Store genera algunas preocupaciones”.
Check Point dijo que las respuestas automáticas observadas en esta campaña redirigieron a las víctimas a un sitio falso de Netflix. El sitio intentaba recolectar las credenciales e información de tarjetas de crédito y débito de las víctimas.
Respuestas maliciosas utilizadas para propagación automática
Con este malware, los atacantes podrían realizar diversas actividades maliciosas, por ejemplo:
- Difundir más malware a través de enlaces maliciosos
- Robar datos de las cuentas de WhatsApp de los usuarios
- Difundir mensajes falsos o maliciosos a los contactos y grupos de WhatsApp de los usuarios (por ejemplo, grupos relacionados con el trabajo)
- Extorsionar a los usuarios amenazando con enviar datos confidenciales de WhatsApp o conversaciones a todos tus contactos.
Este malware de Android tipo gusano debe alertarnos. El malware destaca que los usuarios debemos tener cuidado con los enlaces de descarga o los archivos adjuntos que recibimos a través de WhatsApp. Aunque no solo debemos tener cuidado con WhatsApp. también debemos ser cuidadosos con otras aplicaciones de mensajería, incluso cuando parecen provenir de contactos o grupos de confianza.
“Aunque CPR ayudó a detener esta campaña de malware, esto puede ir más allá. Sospechamos que la familia de malware identificada llegó para quedarse, ya que puede regresar en diferentes aplicaciones de Play Store”.
Los indicadores de compromiso (IOC), incluidos los hash de muestra del malware y la dirección del servidor C2, ya fueron revelados. Estos están disponibles al final del informe de Check Point.
Este no es el primer incidente de este tipo. Recientemente, otro malware de Android disfrazado como una actualización del sistema fue descubierto por investigadores de Zimperium en tiendas no oficiales de aplicaciones de Android. Este malware proporcionó a los actores de amenazas capacidades de spyware diseñadas para activarse automáticamente cuando hubiese nueva información lista para su exfiltración.