Novi Android malver sakriven u lažnoj Netflix aplikaciji širi se preko WhatsAppa

Mobilni telefoni, 08.04.2021, 10:00 AM

Novi Android malver otkriven je u Google Play prodavnici sakriven u lažnoj aplikaciji koja pokušava da privuče korisnike obećavajući besplatne pretplate za Netflix.

Istraživači Check Point Researcha su pronašli malver maskiran u lažnu Netflix aplikaciju nazvanu „FlixOnline”.

Pandemija je mnoge primorala da ostaju veći deo dana kod kuće, a sa zatvorenim radnjama, kafićima, restoranima i ograničenim kretanjem, ljudi su se okrenuli uslugama striminga kako bi prekratili vreme. Do kraja 2020. godine broj pretplatnika Netflixa prešao je 200 miliona pa je jasno zašto su sajber kriminalci odlučili da iskoriste ovaj trend.

Lažna Netflix aplikacija koja koristi logo popularnog servisa, obećava „neograničenu zabavu“ a navodno zbog pandemije aplikacija nudi dva meseca besplatne pretplate za Netflix.

Kada se preuzme, malver prati komunikaciju žrtve u WhatsAppu i automatski odgovara na dolazne poruke zlonamernim sadržajem.

Nakon instalacije, aplikacija traži dozvolu “Overlay” koja mu omogućava da prikazuje prozore preko drugih aplikacija (obično je to prozor za prijavljivanje koji omogućava malveru krađu korisničkog imena i lozinke od žrtve), dozvolu “Battery Optimization Ignore” koja sprečava uređaj da automatski isključi aplikaciju zbog uštede energije i “Notification” koja malveru daju pristup obaveštenjima vezanim za poruke iz WhatsAppa, kao i mogućnost da automatski „odbaci“ ili „odgovori“ na poruke.

Automatski odgovori na WhatsApp poruke koje se šalju kontaktima izgledaju ovako:

„2 meseca Netflix Premium besplatno, bez ikakvih troškova ZBOG KARANTINA (KORONA VIRUS) *Nabavite 2 meseca Netflix Premium besplatno bilo gde u svetu tokom 60 dana. Nabavite ga odmah OVDE https://bit [.]ly/3bDmzUw.”

Prema rečima istraživača, kada je instaliran na Android uređajima malver se može dalje širiti preko linkova. On može da krade podatke sa WhatsApp naloga žrtve, da šalje lažne informacije ili štetan sadržaj WhatsApp kontaktima i grupama i da ucenjuje žrtve pretnjom da će svim njenim kontaktima poslati osetljive podatke ili razgovore u WhatsAppu.

Odmah pošto dobije tražene dozvole, ikona instalirane lažne Netflix aplikacije nestaje sa ekrana, tako da malver ne može biti lako uklonjen. Malver povremeno kontaktira svoj server da bi dobio ažuriranja.

Maliciozni link korišćen u ovoj kampanji šalje žrtve na lažni veb sajt Netflix na kome će se pokušati krađa podataka o platnoj kartici i lozinki žrtve.

FlixOnline je za dva meseca došao do otprilike 500 žrtava pre nego što je otkrivena lažna aplikacija, ali treba imati na umu upozorenje istraživača da će se malver verovatno ponovo pojaviti.

Check Point je obavestio Google o otkriću svojih istraživača pa je aplikacija sada uklonjena iz Play prodavnice. WhatsApp je takođe obavešten o ovome, ali kako u WhatsAppu ne postoji ranjivost ili problem koji malver koristi za širenje preko WhatsAppa, kompanija ne može da uradi ništa povodom toga.

Ovaj Android malver pokazuje inovativne i opasne nove tehnike širenja, manipulacije i krađe podataka iz pouzdanih aplikacija kao što je WhatsApp. To pokazuje da korisnici treba da budu oprezni sa linkovima za preuzimanje i prilozima koje dobijaju putem WhatsAppa ili drugih sličnih aplikacija, čak i kada se čini da dolaze od pouzdanih kontakata ili grupa.

Foto: Check Point