FlixOnline Malware

Um aplicativo falso que prometia Netflix grátis foi pego entregando uma ameaça de malware chamada FlixOnline. Os aplicativos armados conseguiram escapar das salvaguardas do Google e, por dois meses, ficaram disponíveis para download na Loja Play oficial. Durante esse tempo, mais de 500 usuários foram infectados pela ameaça de malware FlixOnline, descobriram os pesquisadores. O objetivo é direcionar os usuários a um site falso da Netflix especialmente criado, que copia todas as informações inseridas nele. Os hackers estavam principalmente atrás das credenciais de login da vítima e dos detalhes do cartão de crédito/débito.

O aplicativo atraiu os usuários com promessas de Netflix grátis - '2 meses de Netflix Premium grátis em qualquer lugar do mundo por 60 dias.' Quando instalado, no entanto, o payload prejudicial iniciou uma técnica bastante nova que lhe permitiu sequestrar a conexão com o cliente WhatsApp do usuário. Na prática, o FlixOnline interceptava todas as notificações recebidas, solicitando uma permissão de ouvinte de notificação. Isso permite que a ameaça acesse todas as notificações sobre mensagens recebidas e execute ações designadas como 'ignorar' ou 'responder' automaticamente. O malware aproveitou ao máximo essa permissão.

Auto-Propagação pelo Sequestro de Notificações do WhatsApp

O FlixOnline empregaria uma função chamada OnNotificationPosted para verificar o nome do pacote do aplicativo que cria qualquer notificação. Se esse aplicativo for o WhatsApp, o malware cancelará a notificação para ocultá-la do usuário e, em seguida, continuará a ler o seu título e conteúdo. A etapa final é enviar uma resposta automática usando uma carga recebida do servidor de Comando e Controle. Na maioria dos casos, as respostas de saída do WhatsApp criadas dessa maneira foram usadas para disseminar ainda mais o malware FlixOnline. Uma mensagem automatizada observada criada pela ameaça é:

'2 meses de Netflix Premium grátis sem custo Por MOTIVO DA QUARENTENA (VÍRUS CORONA) * Obtenha 2 meses de Netflix Premium grátis em qualquer lugar do mundo por 60 dias. Obtenha agora AQUI [LINK]. '

Além do Notification Listener, a ameaça de malware também pede as permissões Overlay e Battery Optimization Ignore. Uma sobreposição é frequentemente explorada pelas ameaças de malware de coleta de dados para gerar novas janelas, tais como telas de login falsas, em cima dos aplicativos legítimos iniciados pelo usuário com o objetivo de coletar credenciais de conta e outros detalhes confidenciais. A permissão Battery Optimization Ignore, como o próprio nome sugere, garante que o malware FlixOnline permanecerá operacional mesmo quando o dispositivo Android infectado entrar em modo inativo.

Depois de ser notificado sobre o aplicativo falso FlixOnline, o Google imediatamente o retirou da Loja Play.