La compañía de ciberseguridad Check Point ha alertado sobre la presencia de una aplicación maliciosa para móviles Android llamada FlixOnline que, bajo la apariencia de la plataforma de streaming Netflix, infecta los dispositivos y les roba los datos de sus cuentas de WhatsApp.
FlixOnline se propaga a través de mensajes de WhatsApp y, una vez infectado el dispositivo, está programado para responder a los mensajes entrantes de la aplicación de forma automática con mensajes procedentes de un servidor remoto, como ha informado Check Point en un comunicado.
La compañía de ciberseguridad encontró el software malicioso escondido en una aplicación falsa de Netflix en Google Play Store llamada FlixOnline, que prometía “entretenimiento ilimitado” desde cualquier parte del mundo.
Sin embargo, en realidad la aplicación está diseñada para monitorizar las notificaciones de WhatsApp del propietario y enviar respuestas automáticas a los mensajes entrantes del mismo, utilizando el contenido que recibe por medio de un servidor remoto de comando y control.
Este método podría permitir a los ciberdelincuentes distribuir ataques de phishing, propagar malware adicional, difundir información falsa o robar credenciales y datos bancarios, así como tener acceso a las conversaciones de los usuarios en la app de mensajería WhatsApp.
El malware enviaba la siguiente respuesta a sus víctimas, atrayéndolas con la oferta de un servicio gratuito de Netflix: “Consigue 2 Meses de Netflix Premium gratis en cualquier parte del mundo durante 60 días. Consíguelo ahora AQUÍ https://bit[.]ly/3bDmzUw“.
Cuando la aplicación se descarga de la Play Store y se instala, esta solicita permisos de Superposición, para Ignorar optimización de la batería y Notificación.
La superposición permite a una aplicación maliciosa crear nuevas ventanas encima de otras aplicaciones. Suele solicitarlo el software malicioso para crear una pantalla de Inicio de sesión falsa para otras aplicaciones, con el objetivo de robar las credenciales de la víctima.
La amenaza también ignora las optimizaciones de la batería, lo que evita que el malware se apague por la propia rutina de la misma, incluso después de estar inactivo durante un período prolongado.
El permiso más destacado es el acceso a las notificaciones, más concretamente, al servicio Notification Listener. Una vez habilitado, este permiso proporciona al malware acceso a todas las notificaciones relacionadas con los mensajes enviados al dispositivo, y la capacidad de realizar automáticamente acciones designadas como descartar y responder a los mismos.
Check Point ha notificado a Google de la existencia de la aplicación maliciosa y ha compartido los detalles de su investigación, y la aplicación se ha eliminado de la Play Store. En el transcurso de dos meses, la aplicación FlixOnline se ha descargado aproximadamente 500 veces.