• TWEAK
• Software

Android-malware inficerer wannabe Netflix-tyve

Nyligt opdaget Android-malware, der findes i Googles Play Store forklædt som et Netflix-værktøj, er designet til automatisk spredning til andre enheder ved hjælp af WhatsApp-autosvar på indgående beskeder.

Forskere ved Check Point Research (CPR) opdagede denne nye malware forklædt som en app ved navn FlixOnline og forsøgte at lokke potentielle ofre med løfter om fri adgang til Netflix-indhold. (når noget lyder for godt til at være sandt?)

HLR-forskere afslørede deres forskningsresultater til Google, der hurtigt fjernede den ondsindede applikation fra Play Butik.

Den problematiske FlixOnline-app blev downloadet cirka 500 gange i løbet af de to måneder, den var tilgængelig til download i Play Butik.

Når appen er installeret på en Android-enhed fra Google Play Butik, starter malware en service, der anmoder om overlejring, ignorering af batterioptimering og notifikationstilladelser.

Når tilladelserne er tildelt, vil malwaren være i stand til at generere overlays over ethvert app-vindue med henblik på legitimationstyveri, blokere enheden i at lukke processen for at optimere energiforbruget, få adgang til app-underretninger og administrere eller svare på meddelelser.

Derefter begynder overvågningen for nye WhatsApp-meddelelser automatisk at svare på alle indgåede meddelelser ved hjælp af brugerdefinerede tekst-payloads modtaget fra command-and-control serveren og udformet af operatører bag denne form for malware.

"The technique here is to hijack the connection to WhatsApp by capturing notifications, along with the ability to take predefined actions, like 'dismiss' or 'reply' via the Notification Manager,"

"The fact that the malware was able to be disguised so easily and ultimately bypass Play Store’s protections raises some serious red flags."

- Aviran Hazum, Manager of Mobile Intelligence hos Check Point

Check Point forklarede via rapporten, at de automatiske svar, der blev observeret i denne kampagne, omdirigerede ofrene til en falsk Netflix-side, der forsøgte at indsamle deres legitimationsoplysninger og kreditkortoplysninger.

Ved hjælp af denne malware kunne folkene bag udføre forskellige ondsindede aktiviteter, herunder:

• Spredning af yderligere malware via ondsindede links
• At stjæle data fra brugernes WhatsApp-konti
• Spredning af falske eller ondsindede meddelelser til brugernes WhatsApp-kontakter og grupper (for eksempel arbejdsrelaterede grupper)

Afpresse brugere ved at true med at sende følsomme WhatsApp-data eller samtaler til alle deres kontakter

"highlights that users should be wary of download links or attachments that they receive via WhatsApp or other messaging apps, even when they appear to come from trusted contacts or messaging groups,"

"Although CPR helped stop this one malware campaign, we suspect the malware family identified is here to stay, as it may return in different apps on the Play Store."

- Check Point

Læs hele rapporten

 

Source & Image credit:

securityweek, blog.desdelinux.net, Check Point