FlixOnline Malware

假冒許諾免費Netflix的應用程序被發現提供了名為FlixOnline的惡意軟件威脅。帶有武器的應用程序設法擺脫了Google的保護措施，並在兩個月內從官方Play商店下載。研究人員發現，在此期間，有500多個用戶感染了FlixOnline惡意軟件威脅。目標是將用戶引導到特製的虛假Netflix網站，該網站會刮擦輸入到其中的每條信息。黑客攻擊的主要對像是受害者的登錄憑據和信用卡/借記卡詳細信息。

該應用程序以免費Netflix的承諾吸引了用戶-“全球任何地方2個月Netflix Premium免費試用期為60天”。但是，安裝後，有害的有效負載啟動了一種相當新穎的技術，使它可以劫持與用戶的WhatsApp客戶端的連接。實際上，FlixOnline通過請求通知偵聽器許可來攔截任何傳入的通知。這使威脅可以訪問有關已接收郵件的所有通知，並自動執行指定的操作，例如“關閉”或“回复”。該惡意軟件充分利用了此權限。

通過劫持WhatsApp通知進行自我傳播

FlixOnline將使用一個名為OnNotificationPosted的函數來檢查創建任何給定通知的應用程序的程序包名稱。如果該應用程序是WhatsApp，則惡意軟件將取消通知以將其隱藏給用戶，然後繼續讀取其標題和內容。最後一步是使用從命令和控制服務器收到的有效負載發送自動答复。在大多數情況下，以這種方式創建的傳出WhatsApp答復被用來進一步傳播FlixOnline惡意軟件。觀察到的由威脅創建的自動消息是：

免費提供為期2個月的Netflix Premium免費服務，以確保檢定理由（冠狀病毒）* 60天之內，在世界任何地方均可獲得2個月的Netflix Premium免費服務。立即在此處[LINK]獲取。

除了Notification Listener之外，惡意軟件威脅還要求Overlay和Battery Optimization Ignore權限。數據收集惡意軟件威脅經常利用覆蓋層在用戶啟動的合法應用程序之上生成新窗口（例如假登錄屏幕），目的是收集帳戶憑據和其他敏感詳細信息。顧名思義，Battery Optimization Ignore權限可確保FlixOnline惡意軟件即使在受感染的Android設備進入空閒模式時仍可正常運行。

收到有關FlixOnline偽造應用程序的通知後，Google便立即從Play商店中將其取下。