FlixOnline Malware

假冒许诺免费Netflix的应用程序被发现提供了名为FlixOnline的恶意软件威胁。带有武器的应用程序设法摆脱了Google的保护措施，并在两个月内从官方Play商店下载。研究人员发现，在此期间，有500多个用户感染了FlixOnline恶意软件威胁。目标是将用户引导到特制的虚假Netflix网站，该网站会刮擦输入到其中的每条信息。黑客攻击的主要对象是受害者的登录凭据和信用卡/借记卡详细信息。

该应用程序以免费Netflix的承诺吸引了用户-“全球任何地方2个月Netflix Premium免费试用期为60天”。但是，安装后，有害的有效负载启动了一种相当新颖的技术，使它可以劫持与用户的WhatsApp客户端的连接。实际上，FlixOnline通过请求通知侦听器许可来拦截任何传入的通知。这使威胁可以访问有关已接收邮件的所有通知，并自动执行指定的操作，例如“关闭”或“回复”。该恶意软件充分利用了此权限。

通过劫持WhatsApp通知进行自我传播

FlixOnline将使用一个名为OnNotificationPosted的函数来检查创建任何给定通知的应用程序的程序包名称。如果该应用程序是WhatsApp，则恶意软件将取消通知以将其隐藏给用户，然后继续读取其标题和内容。最后一步是使用从命令和控制服务器收到的有效负载发送自动答复。在大多数情况下，以这种方式创建的传出WhatsApp答复被用来进一步传播FlixOnline恶意软件。观察到的由威胁创建的自动消息是：

免费提供为期2个月的Netflix Premium免费服务，以确保检定理由（冠状病毒）* 60天之内，在世界任何地方均可获得2个月的Netflix Premium免费服务。立即在此处[LINK]获取。

除了Notification Listener之外，恶意软件威胁还要求Overlay和Battery Optimization Ignore权限。数据收集恶意软件威胁经常利用覆盖层在用户启动的合法应用程序之上生成新窗口（例如假登录屏幕），目的是收集帐户凭据和其他敏感详细信息。顾名思义，Battery Optimization Ignore权限可确保FlixOnline恶意软件即使在受感染的Android设备进入空闲模式时仍可正常运行。

收到有关FlixOnline伪造应用程序的通知后，Google便立即从Play商店中将其取下。