FlixOnline Malware

Un'applicazione falsa che prometteva Netflix gratuito è stata scoperta mentre trasmetteva una minaccia malware chiamata FlixOnline. Le applicazioni armate erano riuscite a sfuggire alle misure di sicurezza di Google e, per due mesi, erano disponibili per il download dal Play Store ufficiale. Durante quel periodo oltre 500 utenti sono stati infettati dalla minaccia malware FlixOnline, hanno scoperto i ricercatori. L'obiettivo è indirizzare gli utenti verso un falso sito Netflix appositamente predisposto che raschia ogni informazione inserita al suo interno. Gli hacker cercavano principalmente le credenziali di accesso della vittima e i dettagli della carta di credito / debito.

L'applicazione ha attirato gli utenti con la promessa di Netflix gratuito: "2 mesi di Netflix Premium gratis ovunque nel mondo per 60 giorni". Una volta installato, tuttavia, il payload dannoso ha avviato una tecnica piuttosto nuova che gli ha permesso di dirottare la connessione al client WhatsApp dell'utente. In pratica, FlixOnline ha intercettato eventuali notifiche in arrivo richiedendo un'autorizzazione per l'ascoltatore di notifiche. Ciò consente alla minaccia di accedere a tutte le notifiche sui messaggi ricevuti e di eseguire automaticamente le azioni designate come "ignora" o "rispondi". Il malware ha sfruttato appieno questa autorizzazione.

Auto-propagazione dirottando le notifiche di WhatsApp

FlixOnline impiegherebbe una funzione chiamata OnNotificationPosted per verificare il nome del pacchetto dell'applicazione che crea una determinata notifica. Se tale applicazione è WhatsApp, il malware annullerà la notifica per nasconderla all'utente e quindi procederà alla lettura del titolo e del contenuto. Il passaggio finale consiste nell'invio di una risposta automatica utilizzando un payload ricevuto dal server Command-and-Control. Nella maggior parte dei casi, le risposte WhatsApp in uscita create in questo modo sono state utilizzate per diffondere ulteriormente il malware FlixOnline. Un messaggio automatico osservato creato dalla minaccia è:

'2 mesi di Netflix Premium gratuiti a costo zero Per MOTIVO DI QUARANTENA (CORONA VIRUS) * Ottieni 2 mesi di Netflix Premium gratis ovunque nel mondo per 60 giorni. Scaricalo ora QUI [LINK]. "

Oltre a Notification Listener, la minaccia malware richiede anche le autorizzazioni Overlay e Battery Optimization Ignore. Un overlay viene spesso sfruttato dalle minacce malware che raccolgono dati per generare nuove finestre, come false schermate di accesso, sopra le applicazioni legittime avviate dall'utente con l'obiettivo di raccogliere le credenziali dell'account e altri dettagli sensibili. L'autorizzazione Ignora ottimizzazione batteria, come suggerisce il nome, garantisce che il malware FlixOnline rimanga operativo anche quando il dispositivo Android infetto entra in modalità inattiva.

Dopo essere stato informato della falsa applicazione FlixOnline, Google l'ha prontamente rimossa dal Play Store.