伪装成 Netflix App 的恶意软件潜伏在 Google Play 商店并通过 WhatsApp 传播

sugar 2021-04-08
专栏 发布于 2021-04-08 11:12:48 阅读 517 评论 0

这种蠕虫恶意软件通过发送提供60天免费Netflix付费的信息,在安卓系统之间传播。

研究人员发现,伪装成Netflix应用程序的恶意软件潜伏在Google Play商店中,并通过WhatsApp消息传播。

根据周三发布的Check Point Research分析,该恶意软件伪装成一个名为“ FlixOnline ”的应用程序,该应用程序通过WhatsApp消息进行了广告宣传,承诺“在世界范围内任何地方都可以使用2个月的Netflix Premium免费版,持续60天”。但是一旦安装,该恶意软件就会开始窃取数据和凭据。

该恶意软件旨在侦听传入的WhatsApp消息,并利用对手精心设计的响应内容自动响应受害者收到的任何消息。研究人员说,这些回应试图通过提供免费的Netflix服务来吸引其他人,并包含指向伪造的Netflix网站的链接,该网站窃取了凭据和信用卡信息。

该分析称:“这款应用被证明是一款虚假服务,声称它可以让用户在手机上观看来自世界各地的Netflix内容。”“然而,这款应用并不允许移动用户查看Netflix的内容,它实际上是被设计用来监控用户的WhatsApp通知,并使用从远程服务器接收到的内容自动回复用户收到的消息。”

该恶意软件还能够自我传播,将消息发送到用户的WhatsApp联系人和群组,并带有指向虚假应用程序的链接。为此,自动消息显示为:“免费提供2个月的Netflix Premium免费服务,以确保检定理由(冠状病毒)*在世界上任何地方均可获得2个月的Netflix Premium免费服务,为期60天。立即获得它(Bitly链接)。”

据Check Point称,在该应用程序在Google Play上运行的两个月中,该恶意软件激起了500名受害者。该公司向Google发出了恶意软件警报,该恶意软件导致该应用程序瘫痪。但是,研究人员警告说:“恶意软件家族可能会保留下来,并可能隐藏在其他应用程序中。”

Check Point移动智能经理Aviran Hazum在分析中说:“恶意软件的技术是相当新颖和创新的。” “这里的技术是通过捕获通知来劫持与WhatsApp的连接,并能够通过通知管理器执行预定义的动作,例如’dismiss’或’reply’。能够如此轻松地伪装该恶意软件并最终绕过Play商店的保护这一事实引起了一些严重的危险信号。”

FlixOnline拦截WhatsApp通知

从Play商店下载并安装该应用程序后,根据检查点分析,它会请求三个特定的权限:覆盖图,电池优化忽略和通知侦听器。

研究人员指出,Overlay允许恶意应用程序在其他应用程序之上创建新窗口。

他们解释说:“恶意软件通常要求这样做,以便为其他应用程序创建伪造的登录界面,目的是窃取受害者的凭据。”

同时,“忽略电池优化”权限可以阻止手机进入空闲模式时关闭恶意软件,就像Android应用程序通常这样做是为了节省电池电量。这样,即使手机处于休眠状态,“ FlixOnline”应用程序也可以在后台连续运行,收听和发送虚假消息。

最重要的是,“通知侦听器”权限允许恶意软件访问与发送到设备的消息有关的所有通知,并具有“能够自动执行指定的操作,例如对设备上收到的消息执行’关闭’和’回复’的功能”。Check Point说。

授予权限后,该恶意软件将显示其从命令和控制服务器(C2)接收的登录页面,并将其图标从主屏幕上删除。从那里,它会定期ping C2以进行配置更新。

分析称:“该服务可以通过多种方法实现这些目标。” “例如,可以通过应用程序的安装和注册为BOOT_COMPLETED操作的警报来触发该服务,该警报在设备完成启动过程之后被调用。”

在解析WhatsApp消息时,该恶意软件使用名为OnNotificationPosted的功能来检查创建给定通知的应用程序的程序包名称。根据Check Point的说法,如果该应用程序是WhatsApp,则恶意软件将“处理”通知。这包括取消通知(以将其隐藏给用户),然后读取接收到的通知的标题和内容。

研究人员解释说:“下一步,它搜索负责内联回复的组件,该组件用于使用从C2服务器接收到的有效负载发送回复。”

Google Play上带有恶意软件的应用

不幸的是,官方Android应用商店对恶意和木马应用并不陌生。例如,3月份在Google Play上发现了9个恶意应用程序,其中包含一个恶意软件删除程序,为攻击者从Android手机远程窃取财务数据铺平了道路。在一月份,Google启动了164个应用程序,总共下载了1000万次,因为它们正在投放具有破坏性的广告。

去年同期,该Joker恶意软件继续困扰着Google Play应用。自2017年以来一直存在的Joker是一种移动木马,专门研究一种称为“ fleeceware”的计费欺诈类型。小丑应用程序将自己宣传为合法应用程序(主要是游戏,壁纸,信使,翻译和照片编辑器)。安装后,它们会模拟点击并拦截SMS消息,以使受害者订阅不需要的,付费的高级服务。这些应用程序还会窃取SMS消息,联系人列表和设备信息。

Android用户如何保护自己?

为了防止这种类型的恶意软件的侵害,用户应该警惕通过WhatsApp或其他消息传递应用程序收到的下载链接或附件,即使它们看起来来自受信任的联系人或消息传递组,Check Point指出。

如果用户发现自己使用的是伪造的应用程序,则应立即从设备中删除可疑应用程序,然后继续更改所有密码。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!