EnglishPortugueseSpanish

En Android se descubrió malware que atraía a sus víctimas con la promesa de acceder al contenido de Netflix de forma gratuita. Rápidamente fue derrocado por Google después de la queja recibida de Check Point Research (CPR). El malware se disfrazó como una aplicación en el Play Store.

Llamada FlixOnline, la aplicación falsa se descargó unas 500 veces durante dos meses de disponibilidad en la tienda en línea de Google, afirmando que ofrece "entretenimiento ilimitado" y "Netflix totalmente gratis". Una vez instalado, solicitó tres permisos de usuario específicos: superposición de otros aplicativos, la capacidad de omitir las funciones de optimización y administración de la batería y, finalmente, acceder a las notificaciones del dispositivo.

publicidad

Leer más:

Captura de imágenes de FlixOnline, una aplicación de Android falsa que prometía "Netflix gratis", pero que en realidad era un malware que robaba información privada.
FlixOnline prometió acceso gratuito al contenido de Netflix, pero en realidad fue un malware el que robó información privada de los usuarios de Android. Imagen: RCP / Reproducción

El problema es que, dados los permisos obtenidos, FlixOnline ganó la capacidad de ejecutarse sobre cualquier otra aplicación instalada en el teléfono inteligente, para robar las credenciales de acceso. Digamos, por ejemplo, que después de instalarlo, el usuario abriría un portal con instrucciones de inicio de sesión y contraseña: la aplicación falsa vería los datos ingresados.

Las acciones del malware no se detuvieron ante la promesa de "Netflix gratis". FlixOnline también se robó el control de las notificaciones para ejecutar comandos de respuesta automática para los mensajes recibidos a través de WhatsApp. Sin que el usuario se diera cuenta, entregó textos personalizados como respuestas a los mensajes, dirigiendo a sus contactos a una página falsa con información de acreditación, para también robar datos de cualquier persona que entrara en contacto con la víctima.

Sin embargo, la capacidad de ignorar los comandos de optimización de la batería permitió que no se terminara con ningún comando de fuerza sistémico (como cerrar aplicaciones con alto consumo de energía), ejecutándose continuamente independientemente de lo que hiciera el usuario.

El malware puede volver

"La técnica [de la aplicación] era robar la conexión a WhatsApp para capturar notificaciones, además de la capacidad de tomar acciones predeterminadas, como 'descartar' o 'responder' mensajes mediante la gestión de notificaciones", dijo Aviran Hazum, gerente de servicios de inteligencia de Investigación de Check Point. "El hecho de que el malware fuera capaz de disfrazarse tan fácilmente y eludir las protecciones implementadas en Play Store provocó muchas alarmas".

CPR también señaló que este malware de Android "destaca [la necesidad] de que los usuarios sospechen de los enlaces o archivos adjuntos que reciben a través de WhatsApp u otras aplicaciones de mensajería, incluso cuando parecen provenir de contactos o grupos de personas de confianza".

Finalmente, la compañía incluso admitió que este puede no ser un caso único: “aunque CPR ha ayudado a detener esta campaña de malware, sospechamos que la familia de malware identificada está aquí para quedarse y puede regresar en otros tipos de malware. dentro de Play Store ”.

El informe CPR final incluye muestras de hash y direcciones de servidor C2, así como indicadores de daños (IOC) para facilitar la identificación por parte de los profesionales técnicos.

fuente: Bleeping Computer