Złośliwe oprogramowanie FlixOnline

Fałszywa aplikacja obiecująca darmowy serwis Netflix została złapana na dostarczaniu złośliwego oprogramowania o nazwie FlixOnline. Uzbrojone aplikacje zdołały wymknąć się zabezpieczeniom Google i przez dwa miesiące były dostępne do pobrania z oficjalnego sklepu Play. Badacze stwierdzili, że w tym czasie ponad 500 użytkowników zostało zainfekowanych szkodliwym oprogramowaniem FlixOnline. Celem jest skierowanie użytkowników do specjalnie spreparowanej fałszywej witryny Netflix, która usuwa każdą wprowadzoną do niej informację. Hakerzy szukali głównie danych logowania ofiary oraz danych karty kredytowej / debetowej.

Aplikacja przyciągnęła użytkowników obietnicami darmowego serwisu Netflix - „2 miesiące usługi Netflix Premium za darmo w dowolnym miejscu na świecie przez 60 dni”. Jednak po zainstalowaniu szkodliwy ładunek zainicjował dość nowatorską technikę, która pozwoliła mu przejąć połączenie z klientem WhatsApp użytkownika. W praktyce FlixOnline przechwytywał wszelkie przychodzące powiadomienia, prosząc o pozwolenie na słuchacz powiadomień. Umożliwia to zagrożeniu dostęp do wszystkich powiadomień o otrzymanych wiadomościach i automatyczne podejmowanie określonych działań, takich jak „odrzucenie” lub „odpowiedź”. Złośliwe oprogramowanie w pełni wykorzystało to uprawnienie.

Samodzielne rozprzestrzenianie się przez przejęcie powiadomień WhatsApp

FlixOnline użyje funkcji o nazwie OnNotificationPosted, aby sprawdzić nazwę pakietu aplikacji, która tworzy dane powiadomienie. Jeśli ta aplikacja to WhatsApp, złośliwe oprogramowanie anuluje powiadomienie, aby ukryć je przed użytkownikiem, a następnie przejdzie do czytania jej tytułu i treści. Ostatnim krokiem jest wysłanie automatycznej odpowiedzi przy użyciu ładunku otrzymanego z serwera Command-and-Control. W większości przypadków wychodzące odpowiedzi WhatsApp utworzone w ten sposób były wykorzystywane do dalszego rozprzestrzeniania szkodliwego oprogramowania FlixOnline. Jedna zaobserwowana automatyczna wiadomość stworzona przez zagrożenie to:

'2 miesiące Netflix Premium za darmo bez żadnych kosztów Z POWODU KWARANTANNY (WIRUSA KORONA) * Uzyskaj 2 miesiące Netflix Premium za darmo w dowolnym miejscu na świecie przez 60 dni. Pobierz teraz TUTAJ [LINK] ”.

Oprócz nasłuchiwania powiadomień zagrożenie złośliwym oprogramowaniem prosi również o uprawnienia do ignorowania nakładki i optymalizacji baterii. Nakładka jest często wykorzystywana do gromadzenia danych przez złośliwe oprogramowanie do generowania nowych okien, takich jak fałszywe ekrany logowania, na legalnych aplikacjach uruchamianych przez użytkownika w celu gromadzenia danych uwierzytelniających konta i innych poufnych informacji. Uprawnienie Battery Optimization Ignore, jak sama nazwa wskazuje, zapewnia, że złośliwe oprogramowanie FlixOnline będzie działać nawet wtedy, gdy zainfekowane urządzenie z Androidem przejdzie w tryb bezczynności.

Po otrzymaniu powiadomienia o fałszywej aplikacji FlixOnline, Google natychmiast usunęło ją ze Sklepu Play.