FlixOnline Malware

Ücretsiz Netflix vaat eden sahte bir uygulama, FlixOnline adlı bir kötü amaçlı yazılım tehdidi taşırken yakalandı. Silah haline getirilmiş uygulamalar Google'ın güvenlik önlemlerinden geçmeyi başardı ve iki ay boyunca resmi Play mağazasından indirilebilirdi. Araştırmacılar, bu süre zarfında 500'den fazla kullanıcıya FlixOnline kötü amaçlı yazılım tehdidi bulaştığını buldu. Amaç, kullanıcıları, girilen her bilgi parçasını toplayan, özel olarak hazırlanmış sahte bir Netflix web sitesine yönlendirmektir. Bilgisayar korsanları, çoğunlukla kurbanın oturum açma kimlik bilgileri ve kredi / banka kartı ayrıntılarının peşindeydi.

Uygulama, kullanıcıları ücretsiz Netflix - "60 gün boyunca Dünyanın Her Yerinde Ücretsiz 2 Aylık Netflix Premium" vaatleriyle cezbetti. Bununla birlikte, yüklendiğinde, zararlı yük, kullanıcının WhatsApp istemcisiyle olan bağlantıyı ele geçirmesine izin veren oldukça yeni bir teknik başlattı. Pratikte FlixOnline, bir Bildirim dinleyici izni talep ederek gelen tüm bildirimleri yakaladı. Bu, tehdidin alınan mesajlarla ilgili tüm bildirimlere erişmesine ve otomatik olarak "reddet" veya "yanıtla" gibi belirlenmiş eylemleri gerçekleştirmesine olanak tanır. Kötü amaçlı yazılım bu iznin tüm avantajlarından yararlandı.

WhatsApp Bildirimlerini Ele Geçirerek Kendi Kendini Yayma

FlixOnline, herhangi bir bildirimi oluşturan uygulamanın paket adını kontrol etmek için OnNotificationPosted adlı bir işlev kullanır. Bu uygulama WhatsApp ise, kötü amaçlı yazılım, bildirimi kullanıcıdan gizleme bildirimini iptal edecek ve ardından başlığını ve içeriğini okumaya devam edecektir. Son adım, Komut ve Kontrol sunucusundan alınan bir yükü kullanarak otomatik bir yanıt göndermektir. Çoğu durumda, bu şekilde oluşturulan giden WhatsApp yanıtları, FlixOnline kötü amaçlı yazılımını daha da yaymak için kullanıldı. Tehdit tarafından oluşturulan gözlemlenen bir otomatik mesaj şudur:

'Karantina Nedeniyle (CORONA VİRÜSÜ) 2 Aylık Ücretsiz Netflix Premium Ücretsiz * 60 gün boyunca dünyanın her yerinde 2 Aylık Ücretsiz Netflix Premium Alın. Hemen BURADAN [LINK] edinin. '

Bildirim Dinleyiciye ek olarak, kötü amaçlı yazılım tehdidi, Yer Paylaşımı ve Pil Optimizasyonu Yoksay izinlerini de ister. Hesap kimlik bilgilerini ve diğer hassas ayrıntıları toplamak amacıyla kullanıcı tarafından başlatılan meşru uygulamaların üzerinde sahte oturum açma ekranları gibi yeni pencereler oluşturmak için veri toplayan kötü amaçlı yazılım tehditleri tarafından genellikle bir yer paylaşımından yararlanılır. Batarya Optimizasyonu Yoksay izni, adından da anlaşılacağı gibi, FlixOnline kötü amaçlı yazılımın, virüslü Android cihaz boşta moduna girse bile çalışır durumda kalmasını sağlar.

FlixOnline sahte uygulaması hakkında bilgilendirildikten sonra Google, uygulamayı hemen Play Store'dan kaldırdı.