原作者:sealstara

原文地址:https://threatpost.com/netflix-app-google-play-malware-whatsapp/165288/

恶意软件 FixOnline

研究人员发现,伪装成 Netflix 应用程序的恶意软件潜伏在 Google Play 商店中,并通过 WhatsApp 传播。

根据周三发布的 Check Point Research 分析,该恶意软件伪装成一个名为 “FlixOnline” 的应用程序,该软件通过 WhatsApp 消息进行广告宣传,承诺“在世界各地任何地方都可以免费使用 2 个月的 Netflix Premium 。” 但是一旦安装,该恶意软件就会窃取数据和凭据。

报告分析,该恶意软件旨在侦听传入的 WhatsApp 消息,并根据精心设计的响应内容,收集受害者收到的任何消息。研究人员说,恶意软件试图通过提供免费的 Netflix 服务来引诱他人,并通过指向伪造的 Netflix 网站的链接,窃取用户凭据和信用卡信息。

该恶意软件还能够自我传播,将消息发送到用户的 WhatsApp 联系人和群组,并带有指向虚假应用程序的链接。其中,自动消息显示为 “免费提供 2 个月的 Netflix Premium 服务:确保在世界上任何地方均可获得 2 个月的 Netflix Premium 免费服务,为期 60 天,请立即获取+[恶意链接]。”

据 Check Point 称,在该恶意软件在 Google Play 上架的两个月中,造成 500 名受害者。该公司向 Google 发出了恶意软件警报,该恶意软件才得以下架。但是,研究人员警告说:“恶意软件家族可能还会隐藏在其他应用程序中。”

Check Point 移动智能经理 Aviran Hazum 在分析中说:“该恶意软件采用的技术是相当新颖的。可以通过捕获通知来劫持与 WhatsApp 的连接,并能够通过通知管理器执行预定义的动作,例如‘忽略’或‘回复’。该恶意软件很容易伪装并绕过 Google Play 商店的保护,这确实是一个危险信号。”

FlixOnline 拦截 WhatsApp 通知

从 Google Play 商店下载并安装应用程序后,根据分析,它会请求三个特定的权限:覆盖、忽略电池优化和通知监听。

“覆盖”权限允许恶意应用程序在其他应用程序之上创建新窗口。研究人员解释:“恶意软件这样做是为了方便创建伪造的登录窗口,从而窃取受害者的凭据。”

“忽略电池优化” 权限可以阻止手机进入空闲模式时关闭恶意软件,就像 Android 应用程序通常是为了节省电池电量。这样,即使手机处于休眠状态,“ FlixOnline” 应用程序也可以在后台连续运行,监听和发送虚假消息。

“通知监听” 权限允许恶意软件访问所有通知,并具备“自动执行指定的操作的能力,例如对设备上收到的消息执行‘关闭’或‘回复’ ”。

授予权限后,该恶意软件将显示从命令和控制服务器(`C2`)接收的登录页面,同时将图标从主屏幕上删除,然后定期同 `C2` 通信进行配置更新。

分析称:“该服务可以通过多种方法达到目的。例如,可以通过将应用程序的安装和注册定位 `BOOT_COMPLETED` 操作的警报来触发该服务,该警报在设备完成启动过程之后被调用。”

在解析 WhatsApp 消息时,该恶意软件使用名为` OnNotificationPosted`的功能来检查程序包名称。如果该应用程序是 WhatsApp,恶意软件将 “处理” 通知,包括取消通知(将其隐藏),然后读取接收到通知的标题和内容。研究人员解释说,“下一步,它搜索负责内联回复的组件,该组件利用从 `C2` 服务器接收到的恶意payload,完成发送与回复。”

Google Play 上带有恶意软件的应用

不幸的是,官方 Android 应用商店对恶意和木马应用屡见不鲜。例如,3 月份在 Google Play 上发现了9 个恶意应用程序,其中包含一个恶意软件删除程序,为攻击者可以从 Android 手机远程窃取财务数据。在一月份,Google 服务一共启动164 个应用程序,总共下载了 1000 万次,这些恶意程序能够投放具有破坏性的广告。去年同时期,Joker 恶意软件持续骚扰 Google Play 应用。自 2017 年以来一直存在的 Joker 是一种移动木马,并将自己宣传为合法应用程序(主要是游戏,壁纸,信使,翻译和照片编辑器)。安装后,会模拟点击并拦截 SMS 消息,以使受害者订阅不需要的、付费的高级服务。这些应用程序还会窃取 SMS 消息、联系人列表和设备信息。

Android 用户如何保护自己?

为了防止这种类型的恶意软件的侵害,用户应该警惕通过 WhatsApp 或其他消息传递的下载链接或附件,即使它们来自受信任的联系人或消息组。如果用户发现自己使用的是伪造的应用程序,应当立即从设备中删除这些可疑的应用程序,并更改设备中的所有密码。

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。