Viene como una aplicación maliciosa de Netflix bajo el nombre de "FlixOnline"
Investigadores de ciberseguridad han descubierto otra pieza de malware wormable de Android, pero esta vez se puede descargar directamente desde la tienda oficial de Google Play, que es capaz de propagarse a través de mensajes de WhatsApp.
Disfrazado como una aplicación maliciosa de Netflix bajo el nombre de "FlixOnline", el malware viene con características que le permiten responder automáticamente a los mensajes entrantes de WhatsApp de una víctima con una carga útil recibida de un servidor de comando y control (C&C).
"La aplicación está diseñada para monitorear las notificaciones de WhatsApp del usuario y para enviar respuestas automáticas a los mensajes entrantes del usuario usando el contenido que recibe de un servidor C&C remoto", dijeron los investigadores de Check Point en un análisis publicado hoy.
Además de hacerse pasar por una aplicación de Netflix, la aplicación maliciosa "FlixOnline" también solicita permisos intrusivos que le permiten crear falsas pantallas de inicio de sesión para otras aplicaciones, con el objetivo de robar credenciales y obtener acceso a todas las notificaciones recibidas en el dispositivo, usándolos para ocultar las notificaciones de WhatsApp al usuario y responder automáticamente con una carga útil especialmente diseñada recibida del servidor C&C.
"La técnica del malware es bastante nueva e innovadora", dijo Aviran Hazum, gerente de inteligencia móvil en Check Point. "La técnica aquí es secuestrar la conexión a WhatsApp mediante la captura de notificaciones, junto con la capacidad de realizar acciones predefinidas, como 'descartar' o 'responder' a través del Administrador de notificaciones".
Una infección exitosa podría permitir que el malware se propague aún más a través de enlaces maliciosos, robar datos de las cuentas de WhatsApp de los usuarios, propagar mensajes maliciosos a los contactos y grupos de WhatsApp de los usuarios e incluso extorsionar a los usuarios amenazando con filtrar datos o conversaciones confidenciales de WhatsApp.
Desde entonces, la aplicación ha sido eliminada de Play Store, pero no antes de atraer un total de 500 descargas en el transcurso de dos meses.
FlixOnline también marca la segunda vez que se detecta una aplicación maliciosa que usa WhatsApp para propagar el malware. En enero de 2021, el investigador de ESET Lukas Stefanko reveló una falsa aplicación móvil de Huawei que empleaba el mismo modus operandi para realizar el ataque de gusanos.
Además, el mensaje que se muestra a los usuarios al abrir las aplicaciones es el mismo: "Necesitamos su permiso para acceder a la aplicación. Ayudará a la aplicación (sic) a proporcionar una mejor funcionalidad", lo que sugiere que las dos aplicaciones podrían ser obra del mismo atacante o que los autores de FlixOnline se inspiraron en la aplicación móvil de Huawei.
"El hecho de que el malware se haya podido disfrazar tan fácilmente y, en última instancia, eludir las protecciones de Play Store genera algunas señales de alerta", dijo Hazum. "Aunque detuvimos una campaña del malware, es probable que la familia del malware esté aquí para quedarse. El malware puede regresar oculto en una aplicación diferente".
"Los usuarios deben tener cuidado con los enlaces de descarga o los archivos adjuntos que reciben a través de WhatsApp u otras aplicaciones de mensajería, incluso cuando parecen provenir de contactos o grupos de mensajería de confianza", agregó Hazum.