Um malware que atraía suas vítimas com a promessa de acesso ao conteúdo da Netflix de graça foi descoberto no Android. Ele foi prontamente derrubado pelo Google após denúncia recebida da Check Point Research (CPR). O malware estava disfarçado de aplicativo na Play Store.
Chamado de FlixOnline, o falso app foi baixado cerca de 500 vezes ao longo de dois meses de disponibilidade na loja virtual do Google, alegando disponibilizar “entretenimento ilimitado” e “Netflix totalmente de graça”. Uma vez instalado, ele pedia por três permissões específicas do usuário: sobreposição a outros aplicativos, a capacidade de ignorar recursos de otimização e gerenciamento de bateria e, finalmente, acesso às notificações do aparelho.
Leia mais:
- Novo malware dá a hackers controle total sobre celular
- Emotet: esforço global interrompe ação do malware mais perigoso do mundo
- Como identificar um malware em aparelhos Android
O problema é que, diante das permissões obtidas, o FlixOnline ganhava a capacidade de rodar em sobreposição a qualquer outro aplicativo instalado no smartphone, com o objetivo de roubar credenciais de acesso. Digamos, por exemplo, que depois de instalá-lo, o usuário abrisse um portal com instruções de login e senha: o falso app enxergaria os dados inseridos.
As ações do malware não paravam na promessa de “Netflix de graça”. O FlixOnline também roubava o controle de notificações, no intuito de executar comandos de resposta automática para mensagens recebidas via WhatsApp. Sem o usuário perceber, ele entregava textos customizados como respostas às mensagens, direcionando seus contatos a uma página falsa com informações de credenciamento – para também roubar dados de quem entrasse em contato com a vítima.
Já a capacidade de ignorar comandos de otimização de bateria permitia que ele não pudesse ser finalizado por nenhum comando de força sistêmica (como fechar apps com alto consumo de energia), rodando continuamente independente do que o usuário fizesse.
Malware pode voltar
“A técnica [do app] era a de roubar a conexão com o WhatsApp para capturar notificações, além da habilidade de tomar ações pré-determinadas, como ‘dispensar’ ou ‘responder’ mensagens pelo gerenciamento de notificações”, disse Aviran Hazum, gerente de inteligência mobile da Check Point Research. “O fato de que o malware era capaz de se disfarçar tão facilmente e contornar as proteções implementadas na Play Store causou muitos alarmes”.
A CPR também ressaltou que esse malware de Android “salienta [a necessidade de] que usuários devem desconfiar de links ou arquivos anexados que recebem via WhatsApp ou outros apps de mensagem, mesmo quando eles aparentam vir de contatos confiáveis ou grupos de pessoas”.
Finalmente, a empresa ainda admitiu que esse pode não ser um caso único: “ainda que a CPR tenha ajudado a parar com essa campanha de malware, nós suspeitamos que a família identificada de malwares tenha vindo para ficar, e pode retornar em outros tipos de apps dentro da Play Store”.
O relatório final da CPR conta com amostras de hash e endereços de servidor C2, bem como indicadores de dano (IOC, na sigla em inglês) para facilitar a identificação por profissionais técnicos.
Fonte: Bleeping Computer
Tags: