Check Point Research (CPR) ha scoperto una nuova e pericolosa minaccia sull’app store di Google Play che si diffonde tramite le conversazioni WhatsApp degli utenti mobili e che può anche inviare ulteriori contenuti dannosi tramite risposte automatiche ai messaggi in arrivo.
I ricercatori hanno trovato il malware nascosto all’interno di un’app su Google Play chiamata “FlixOnline”, un servizio falso che “consentirebbe” agli utenti di visualizzare i contenuti di Netflix da tutto il mondo. In realtà, si tratta di una falsa applicazione progettata per monitorare le notifiche WhatsApp dell’utente e per inviare risposte automatiche ai messaggi in arrivo utilizzando il contenuto che riceve da un server di comando e controllo remoto (C&C).
Il malware invia la seguente risposta alle sue vittime attirandole con l’offerta di un servizio Netflix gratuito:
“2 mesi di Netflix Premium gratis a costo zero Per MOTIVO DI QUARANTENA (CORONA VIRUS) * Ottieni 2 mesi di Netflix Premium gratis ovunque nel mondo per 60 giorni. Scaricalo ora QUI https: // bit [.] Ly / 3bDmzUw”.
Rispondendo ai messaggi WhatsApp in arrivo con un payload da un server di comando e controllo (C&C), questo metodo potrebbe consentire a un hacker di distribuire attacchi di phishing, diffondere ulteriore malware o diffondere informazioni false o rubare credenziali e dati dall’account WhatsApp degli utenti e conversazioni.
Come funziona il malware
Una volta scaricata e installata l’applicazione dal Play Store, il malware avvia un servizio che richiede le autorizzazioni “Overlay”, “Battery Optimization Ignore” e “Notification’ permissions”. Lo scopo è:
- Overlay consente a un’applicazione dannosa di creare nuove finestre sopra altre applicazioni. Questo viene solitamente richiesto dal malware per creare una falsa schermata di “Login” per altre app, con l’obiettivo di rubare le credenziali della vittima.
- Battery Optimization Ignore impedisce al malware di essere spento dalla routine di ottimizzazione della batteria del dispositivo, anche dopo un periodo di inattività prolungato.
- L’autorizzazione più importante è l’accesso alle notifiche, più specificamente, il servizio Notification Listener. Una volta abilitata, questa autorizzazione fornisce al malware l’accesso a tutte le notifiche relative ai messaggi inviati al dispositivo e la capacità di eseguire automaticamente azioni designate come “ignora” e “rispondi” ai messaggi ricevuti sul dispositivo.
Se queste autorizzazioni vengono concesse, il malware ha tutto ciò di cui ha bisogno per iniziare a distribuire i suoi payload dannosi e rispondere ai messaggi WhatsApp in arrivo con risposte generate automaticamente. Sebbene queste risposte siano generate automaticamente, un hacker può rubare dati, causare interruzioni dell’attività sui gruppi di chat relativi al lavoro e persino estorsioni inviando dati sensibili a tutti i contatti degli utenti.
Il CPR ha informato Google dell’applicazione dannosa e dei dettagli della sua ricerca e Google ha provveduto a rimuovere rapidamente l’applicazione dal Play Store. Nel corso di 2 mesi, l’app “FlixOnline” risulta essere stata scaricata circa 500 volte.
“Questo malware Android wormable presenta nuove tecniche innovative e pericolose per diffondersi e per manipolare o rubare dati da applicazioni affidabili come WhatsApp. Si sottolinea che gli utenti dovrebbero diffidare dei link di download o degli allegati che ricevono tramite WhatsApp o altre app di messaggistica, anche quando sembrano provenire da contatti fidati o gruppi di messaggistica”, conclude Check Point.