La plataforma de ciberseguridad Check Point Research (CPR) ha alertado de un nuevo virus para teléfonos móviles que, a través de aplicaciones que se hacen pasar por la popular plataforma de películas y series Netflix, consiguen acceder de forma ilícita a la cuenta de WhatsApp del usuario, al que roban datos y contactos e incluso bloqueándo la cuenta o quedándose con ella.
A pesar de que muchas aplicaciones fraudulentas no consiguen acceder al sistema de apps de Google, Google Play, otras pasan el filtro y pueden llegar a los usuarios, que creen que son seguras. Además, este nuevo ‘malware’ o virus es capaz de propagarse a través de los mensajes de WhatsApp de los usuarios, por lo que es doblemente peligroso
En esta campaña específica, los investigadores de Check Point descubrieron una nueva e innovadora amenaza maliciosa en la tienda de aplicaciones de Google Play que se propaga a través de las conversaciones de WhatsApp de los usuarios móviles y también puede enviar más contenido malicioso a través de respuestas automáticas a los mensajes entrantes de WhatsApp.
Los investigadores encontraron el malware oculto dentro de varias aplicaciones en Google Play, la principal llamada ‘FlixOnline’. La aplicación es un servicio falso que pretende permitir a los usuarios ver contenido de Netflix de todo el mundo en sus teléfonos móviles.
Sin embargo, en lugar de permitir que el usuario móvil vea el contenido de Netflix, la aplicación está diseñada para monitorear las notificaciones de WhatsApp del usuario y para enviar respuestas automáticas a los mensajes que recibe el usuario utilizando el contenido que recibe de un servidor de comando y control remoto (C&C).
Mensajes como “2 meses de Netflix Premium gratis sin costo POR MOTIVO DE CUARENTENA (VIRUS CORONA) * Obtenga 2 meses de Netflix Premium gratis en cualquier parte del mundo durante 60 días. Consíguelo ahora AQUÍ https: // bit [.] Ly / 3bDmzUw » para infectar más cuentas de WhatsApp.
Con esta técnica, el atacante podría realizar una amplia gama de actividades maliciosas: difundir más malware a través de enlaces maliciosos; robar datos de las cuentas de WhatsApp de los usuarios; difundir mensajes falsos o maliciosos a los contactos y grupos de WhatsApp de los usuarios (por ejemplo, grupos relacionados con el trabajo); y extorsionar a los usuarios amenazando con enviar datos confidenciales de WhatsApp o conversaciones a todos sus contactos.
Cuando la aplicación se descarga de Play Store y se instala, el malware inicia un servicio que solicita los permisos «Superposición», «Ignorar optimización de la batería» y «Notificación». El propósito de obtener estos permisos es:
– La superposición permite que una aplicación maliciosa cree nuevas ventanas sobre otras aplicaciones. El malware normalmente lo solicita para crear una pantalla de «Inicio de sesión» falsa para otras aplicaciones, con el objetivo de robar las credenciales de la víctima.
– Ignorar las optimizaciones de la batería evita que el malware se apague mediante la rutina de optimización de la batería del dispositivo, incluso después de que esté inactivo durante un período prolongado.
– El permiso más destacado es el acceso a notificaciones, más específicamente, el servicio de escucha de notificaciones. Una vez habilitado, este permiso proporciona al malware acceso a todas las notificaciones relacionadas con los mensajes enviados al dispositivo y la capacidad de realizar automáticamente acciones designadas como «descartar» y «responder» a los mensajes recibidos en el dispositivo.
Una vez que se otorgan los permisos, el malware muestra una página de destino que recibe del servidor C&C e inmediatamente oculta su icono para que el malware no se pueda eliminar fácilmente. A partir de entonces el WhatsApp empieza a enviar mensajes a los contactos con el fin de que caigan en la «trampa» y se descarguen a su vez la aplicación fraudulenta.
Check Point Research notificó a Google de manera responsable sobre la aplicación maliciosa y los detalles de su investigación, y Google eliminó rápidamente la aplicación de Play Store. En el transcurso de 2 meses, la aplicación «FlixOnline» se descargó aproximadamente 500 veces.
