La aplicación falsa de Netflix en Google Play propaga malware a través de WhatsApp - Calendae | Informática, Electrónica, CMS, Ciberseguridad

La aplicación falsa de Netflix en Google Play propaga malware a través de WhatsApp

Hola, un placer verte por aquí. Te habla Eduardo Arroyo y hoy vamos a hablar sobre La aplicación falsa de Netflix en Google Play propaga malware a través de WhatsApp

La aplicación falsa de Netflix en Google Play propaga malware a través de WhatsApp

El malware Wormable se propaga de Android a Android mediante el envío de mensajes que ofrecen Netflix Premium gratis durante 60 días.

Malware disfrazado de aplicaciones de Netflix, que acecha en Google Play Store, se propaga a través de mensajes de WhatsApp, encontraron los investigadores.

Según un análisis de Check Point Research publicado el miércoles, el malware se hizo pasar por una aplicación llamada «FlixOnline», que anunciaba a través de mensajes de WhatsApp prometiendo «2 meses de Netflix Premium gratis en cualquier parte del mundo durante 60 días». Pero una vez instalado, el malware comienza a robar datos y credenciales.

El malware fue diseñado para escuchar los mensajes entrantes de WhatsApp y responder automáticamente a los recibidos de las víctimas, con el contenido de la respuesta preparado por los oponentes. Las respuestas intentaron atraer a otros ofreciendo un servicio gratuito de Netflix y contenían enlaces a un sitio falso de Netflix que buscaba credenciales e información de tarjetas de crédito, dijeron los investigadores.

«La aplicación resultó ser un servicio falso que pretende permitir a los usuarios ver contenido de Netflix de todo el mundo en sus teléfonos móviles», según análisis. «Sin embargo, en lugar de permitir que el usuario móvil vea el contenido de Netflix, la aplicación está diseñada para monitorear las notificaciones de WhatsApp de un usuario, enviando respuestas automáticas a los mensajes entrantes de un usuario utilizando el contenido que recibe de un servidor remoto».

La aplicación falsa en Google Play, con el logo de Netflix. Fuente: Check Point.

El malware también pudo autopropagarse, enviando mensajes a los contactos y grupos de WhatsApp de los usuarios con enlaces a la aplicación falsa. Con este fin, los mensajes automáticos decían: «2 meses de Netflix Premium gratis sin costo por QUARANTINE REASON (CORONA VIRUS) * Obtenga 2 meses de Netflix Premium gratis en cualquier parte del mundo durante 60 días. Descargue ahora AQUÍ [Bitly link]. «

Según Check Point, durante los dos meses que la aplicación se publicó en Google Play, el malware ha acumulado 500 víctimas. La compañía advirtió a Google sobre el malware, que deshabilitó la aplicación. Sin embargo, «es probable que la familia de malware permanezca y vuelva oculta en una aplicación diferente», advirtieron los investigadores.

«La técnica del malware es bastante nueva e innovadora», dijo en el análisis Aviran Hazum, gerente de Inteligencia Móvil en Check Point. «La técnica aquí es secuestrar la conexión a WhatsApp mediante la captura de notificaciones, junto con la capacidad de realizar acciones predefinidas, como» ignorar «o» responder «a través del administrador de notificaciones. El hecho de que el malware también se pudo enmascarar . Fácil y eventualmente eludir las protecciones de Play Store levanta algunas banderas rojas serias «.

Una vez que la aplicación se ha descargado de Play Store e instalado, requiere tres permisos específicos, según el análisis de Check Point: Overlay, Battery Optimization Ignore y Notification Listener.

La superposición permite que una aplicación maliciosa cree nuevas ventanas sobre otras aplicaciones, anotaron los investigadores.

«Esto suele ser requerido por el malware para crear una pantalla de inicio de sesión falsa para otras aplicaciones, con el objetivo de robar las credenciales de la víctima», explicaron.

Mientras tanto, el permiso Ignorar optimizaciones de batería evita que el malware se apague cuando el teléfono entra en modo inactivo, como suelen hacer las aplicaciones de Android para ahorrar batería. Esto permitió que la aplicación «FlixOnline» se ejecutara continuamente, escuchando y enviando mensajes falsos en segundo plano incluso si el teléfono estaba inactivo.

Más importante aún, el permiso de escucha de notificaciones permite al malware acceder a todas las notificaciones relacionadas con los mensajes enviados al dispositivo, con «la capacidad de realizar automáticamente acciones designadas como» ignorar «y» responder «a los mensajes recibidos en el dispositivo», según Check Punto.

Una vez concedidos los permisos, el malware muestra una página de destino que recibe del servidor de comando y control (C2) y elimina su icono de la pantalla principal. A partir de ahí, periódicamente hace ping a C2 para obtener actualizaciones de configuración.

«El servicio puede lograr estos objetivos utilizando múltiples métodos», según el análisis. «Por ejemplo, el servicio puede activarse mediante la instalación de la aplicación y una alarma registrada como una acción BOOT_COMPLETED, que se invoca después de que el dispositivo ha completado el proceso de inicio».

Cuando se trata de analizar los mensajes de WhatsApp, el malware utiliza una función llamada OnNotificationPosted para verificar el nombre del paquete de la aplicación mediante la creación de una determinada notificación. Si esa aplicación es WhatsApp, el malware «procesará» la notificación, según Check Point. Consiste en cancelar la notificación (para ocultarla al usuario) y luego leer el título y contenido de la notificación recibida.

«A continuación, busca el componente responsable de las respuestas Online, que se utiliza para enviar la respuesta utilizando la carga útil recibida del servidor C2», explicaron los investigadores.

Desafortunadamente, la tienda oficial de aplicaciones de Android no es ajena a las aplicaciones maliciosas y propensas a los troyanos. En marzo, por ejemplo, se encontraron nueve aplicaciones maliciosas en Google Play que alojaban un cuentagotas de malware que allana el camino para que los atacantes roben de forma remota datos financieros de teléfonos Android. Y en enero, Google lanzó 164 aplicaciones, que se descargaron un total de 10 millones de veces, porque ofrecían anuncios disruptivos.

Mientras tanto, el malware Joker siguió plagando las aplicaciones de Google Play el año pasado. Joker, que existe desde 2017, es un troyano móvil que se especializa en un tipo de fraude de facturación conocido como «fleeceware». Las aplicaciones de Joker se anuncian a sí mismas como aplicaciones legítimas (como juegos, fondos de pantalla, mensajeros, traductores y editores de fotos, en su mayoría). Una vez instalados, simulan clics e interceptan mensajes SMS para suscribir a las víctimas a servicios premium de pago no deseados. Las aplicaciones también roban mensajes SMS, listas de contactos e información del dispositivo.

Para protegerse de este tipo de malware, los usuarios deben tener cuidado con los enlaces de descarga o los archivos adjuntos recibidos a través de WhatsApp u otras aplicaciones de mensajería, incluso cuando parecen provenir de contactos o grupos de mensajería de confianza, señaló Check Point.

Si los usuarios se encuentran con una aplicación falsa, deben eliminar inmediatamente la aplicación sospechosa del dispositivo y proceder a cambiar todas las contraseñas.

.

Puedes compartir en tus redes sociales para que tus amigos lo vean

??? ? ? ???

Comparte