伪装成 Netflix App 的恶意软件潜伏在 Google Play 商店并通过 WhatsApp 传播 - 网安

这种蠕虫恶意软件通过发送提供60天免费Netflix付费的信息，在安卓系统之间传播。

研究人员发现，伪装成Netflix应用程序的恶意软件潜伏在Google Play商店中，并通过WhatsApp消息传播。

根据周三发布的Check Point Research分析，该恶意软件伪装成一个名为“ FlixOnline ”的应用程序，该应用程序通过WhatsApp消息进行了广告宣传，承诺“在世界范围内任何地方都可以使用2个月的Netflix Premium免费版，持续60天”。但是一旦安装，该恶意软件就会开始窃取数据和凭据。

该恶意软件旨在侦听传入的WhatsApp消息，并利用对手精心设计的响应内容自动响应受害者收到的任何消息。研究人员说，这些回应试图通过提供免费的Netflix服务来吸引其他人，并包含指向伪造的Netflix网站的链接，该网站窃取了凭据和信用卡信息。

该分析称:“这款应用被证明是一款虚假服务，声称它可以让用户在手机上观看来自世界各地的Netflix内容。”“然而，这款应用并不允许移动用户查看Netflix的内容，它实际上是被设计用来监控用户的WhatsApp通知，并使用从远程服务器接收到的内容自动回复用户收到的消息。”

该恶意软件还能够自我传播，将消息发送到用户的WhatsApp联系人和群组，并带有指向虚假应用程序的链接。为此，自动消息显示为：“免费提供2个月的Netflix Premium免费服务，以确保检定理由（冠状病毒）*在世界上任何地方均可获得2个月的Netflix Premium免费服务，为期60天。立即获得它(Bitly链接)。”

据Check Point称，在该应用程序在Google Play上运行的两个月中，该恶意软件激起了500名受害者。该公司向Google发出了恶意软件警报，该恶意软件导致该应用程序瘫痪。但是，研究人员警告说：“恶意软件家族可能会保留下来，并可能隐藏在其他应用程序中。”

Check Point移动智能经理Aviran Hazum在分析中说：“恶意软件的技术是相当新颖和创新的。” “这里的技术是通过捕获通知来劫持与WhatsApp的连接，并能够通过通知管理器执行预定义的动作，例如’dismiss’或’reply’。能够如此轻松地伪装该恶意软件并最终绕过Play商店的保护这一事实引起了一些严重的危险信号。”

FlixOnline拦截WhatsApp通知

从Play商店下载并安装该应用程序后，根据检查点分析，它会请求三个特定的权限：覆盖图，电池优化忽略和通知侦听器。

研究人员指出，Overlay允许恶意应用程序在其他应用程序之上创建新窗口。

他们解释说：“恶意软件通常要求这样做，以便为其他应用程序创建伪造的登录界面，目的是窃取受害者的凭据。”

同时，“忽略电池优化”权限可以阻止手机进入空闲模式时关闭恶意软件，就像Android应用程序通常这样做是为了节省电池电量。这样，即使手机处于休眠状态，“ FlixOnline”应用程序也可以在后台连续运行，收听和发送虚假消息。

最重要的是，“通知侦听器”权限允许恶意软件访问与发送到设备的消息有关的所有通知，并具有“能够自动执行指定的操作，例如对设备上收到的消息执行’关闭’和’回复’的功能”。Check Point说。

授予权限后，该恶意软件将显示其从命令和控制服务器（C2）接收的登录页面，并将其图标从主屏幕上删除。从那里，它会定期ping C2以进行配置更新。

分析称：“该服务可以通过多种方法实现这些目标。” “例如，可以通过应用程序的安装和注册为BOOT_COMPLETED操作的警报来触发该服务，该警报在设备完成启动过程之后被调用。”

在解析WhatsApp消息时，该恶意软件使用名为OnNotificationPosted的功能来检查创建给定通知的应用程序的程序包名称。根据Check Point的说法，如果该应用程序是WhatsApp，则恶意软件将“处理”通知。这包括取消通知（以将其隐藏给用户），然后读取接收到的通知的标题和内容。

研究人员解释说：“下一步，它搜索负责内联回复的组件，该组件用于使用从C2服务器接收到的有效负载发送回复。”

Google Play上带有恶意软件的应用

不幸的是，官方Android应用商店对恶意和木马应用并不陌生。例如，3月份在Google Play上发现了9个恶意应用程序，其中包含一个恶意软件删除程序，为攻击者从Android手机远程窃取财务数据铺平了道路。在一月份，Google启动了164个应用程序，总共下载了1000万次，因为它们正在投放具有破坏性的广告。

去年同期，该Joker恶意软件继续困扰着Google Play应用。自2017年以来一直存在的Joker是一种移动木马，专门研究一种称为“ fleeceware”的计费欺诈类型。小丑应用程序将自己宣传为合法应用程序（主要是游戏，壁纸，信使，翻译和照片编辑器）。安装后，它们会模拟点击并拦截SMS消息，以使受害者订阅不需要的，付费的高级服务。这些应用程序还会窃取SMS消息，联系人列表和设备信息。

Android用户如何保护自己？

为了防止这种类型的恶意软件的侵害，用户应该警惕通过WhatsApp或其他消息传递应用程序收到的下载链接或附件，即使它们看起来来自受信任的联系人或消息传递组，Check Point指出。