FlixOnline: una aplicación maliciosa disfrazada de «Netflix» que se extiende por medio de mensajes de WhatsApp

Estudiosos de Check Point Research, la División de Inteligencia de Amenazas de Check Point, han descubierto últimamente una nueva amenaza maliciosa en Play Store que se extendía por medio de los mensajes de WhatsApp. El malware estaba desarrollado con capacidad para contestar de manera automática a los mensajes entrantes con mensajes procedentes de un servidor recóndito representando a sus víctimas. CPR halló el software malicioso oculto en una aplicación falsa de “Netflix” en Google Play Store llamada FlixOnline, que prometía “entretenimiento ilimitado” con Netflix sin coste desde cualquier una parte del planeta.

Al contestar a los mensajes entrantes de WhatsApp con una payload o bien carga útil de un servidor de comando y control (C&C), este procedimiento podría permitir a los ciberdelincuentes repartir ataques de phishing, extender malware auxiliar propagar información falsa o bien hurtar credenciales y datos bancarios, como tener acceso a las conversaciones de los usuarios.

La seguridad de los dispositivos móviles es una de las primordiales preocupaciones de las compañías hoy día, y por una buena razón. En el último año, los estudiosos de CPR han observado un incremento del número de ataques relacionados con los dispositivos móviles y de nuevos métodos de ataque. Desde un nuevo malware encontrado en Google Play, hasta una investigación que desvela el APT iraní Rampant Kitten, el panorama de las amenazas móviles está en incesante desarrollo.

Malware de WhatsApp

Conforme el panorama de los ciberataques a los dispositivos móviles evoluciona, los ciberdelincuentes procuran siempre y en toda circunstancia desarrollar técnicas nuevas para convertir y repartir exitosamente programas maliciosos. En el caso de esta última acción, los estudiosos de Check Point han descubierto una nueva y también renovadora amenaza maliciosa en la tienda de aplicaciones de Google Play que se extiende mediante las conversaciones de WhatsApp móvil, y que asimismo puede mandar más ciberataques por medio de contestaciones automáticas a los mensajes de WhatsApp entrantes.

Los estudiosos han encontrado el malware oculto en una aplicación que se halla en Google Play llamada ‘FlixOnline’”. La aplicación es un servicio falso que afirma permitir a los usuarios ver contenidos de Netflix de todo el planeta en sus teléfonos móviles. No obstante, realmente la aplicación está desarrollada para controlar las notificaciones de WhatsApp del dueño y mandar contestaciones automáticas a los mensajes entrantes del mismo, usando el contenido que recibe a través de un servidor recóndito de comando y control (C&C).

Dicho malware mandaba la próxima contestación a sus víctimas, atrayéndolas con la oferta de un servicio gratis de Netflix:

“2 Months of Netflix Premium Free at no cost For REASON OF QUARANTINE (CORONA VIRUS)* Get dos Months of Netflix Premium Free anywhere in the world for sesenta days. Get it now HERE”

“2 Meses de Netflix Premium Sin coste Por Motivo de Cuarentena (CORONA VIRUS) * Logra dos Meses de Netflix Premium sin coste en cualquier una parte del planeta a lo largo de sesenta días. Consíguelo ahora AQUÍ”.

A través de esta técnica, un ciberdelincuente podía hacer una extensa gama de actividades maliciosas:

  • Extender malware auxiliar mediante links maliciosos
  • Hurtar datos de las cuentas de WhatsApp de los usuarios
  • Propagar mensajes falsos o bien maliciosos a los contactos y conjuntos de WhatsApp de los usuarios (por poner un ejemplo, conjuntos relacionados con el trabajo)

De qué manera marcha el malware de Netflix

Cuando la aplicación se descarga de la Google Play Store y se instala, esta pide permisos de ‘Superposición’, para ‘Ignorar Optimización de la Batería’ y ‘Notificación’. El propósito tras la obtención de tales permisos es:

  1. La superposición deja a una aplicación maliciosa crear nuevas ventanas encima de otras aplicaciones. Acostumbra a pedirlo el software malicioso para crear una pantalla de “Inicio de sesión” falsa para otras aplicaciones, con la meta de hurtar las credenciales de la víctima.
  2. Ignorar las optimizaciones de la batería evita que el malware se apague por la propia rutina de exactamente la misma, aun tras estar inactivo a lo largo de un periodo prolongado.
  3. El permiso más importante es el acceso a las notificaciones, más específicamente, al servicio Notification Listener. Una vez habilitado, este permiso da al malware acceso a todas y cada una de las notificaciones relacionadas con los mensajes mandados al dispositivo, y la capacidad de efectuar de forma automática acciones designadas como “descartar” y “responder” a exactamente los mismos.

Si se conceden estos permisos, el malware tiene todo cuanto precisa para comenzar a repartir sus payloads maliciosos y producir contestaciones autogeneradas a los mensajes entrantes de WhatsApp, mediante las que es posible. hurtar datos, ocasionar interrupciones en conjuntos de chat e inclusive expoliar mandando datos sensibles a todos y cada uno de los contactos del usuario.

CPR ha notificado a Google de la existencia de la aplicación maliciosa y ha compartido los detalles de su investigación, con lo que la aplicación se ha eliminado velozmente de la Google Play Store. En el trascurso de dos meses, la aplicación “FlixOnline” se ha descargado más o menos quinientos veces.

“Se trata de una técnica de malware bastante nueva y también renovadora consistente en raptar la conexión a WhatsApp capturando las notificaciones, así como la posibilidad de efectuar acciones predefinidas, como ‘descartar’ o bien ‘responder’ a través del gestor de notificaciones. El hecho de que el software malicioso haya podido ocultarse con tanta sencillez y, en último término, evitar las protecciones de Google Play Store, dispara serias alarmas. Si bien hemos podido detener una campaña, probablemente esta familia de malware haya llegado para quedarse y puede regresar a ocultarse en una aplicación diferente”, resalta Eusebio Nieva, directivo técnico de Check Point para España y Portugal”. “Para eludir que estos ataques tengan éxito, los usuarios deben sospechar de los links de descarga o bien los ficheros adjuntos que reciban por medio de WhatsApp o bien otras aplicaciones de correo, aun cuando parezcan proceder de contactos o bien conjuntos de confianza. Si piensas que eres una víctima, suprime de manera inmediata la aplicación del dispositivo, y cambia todas y cada una de las contraseñas”, concluye Nieva.

Consejos de seguridad para usuarios de Android

  1. Instalar una solución de seguridad en el dispositivo
  2. Descargar aplicaciones solo de los mercados oficiales
  3. Sostener el dispositivo y las aplicaciones actualizadas

Check Point Harmony Mobile (previamente conocido como SandBlast Mobile) es la solución líder del mercado de Defensa contra Amenazas Móviles (MTD), que ofrece la más extensa gama de capacidades para resguardar un dispositivo móvil personal. Harmony Mobile da protección para todos y cada uno de los vectores de ataque móviles, incluyendo la descarga de aplicaciones maliciosas y aplicaciones con malware engastado.

Más en la red...

Dejar respuesta

Please enter your comment!
Please enter your name here

ÚLTIMOS

Recursos informáticos de alto valor: cuando el futuro se convirtió en presente

La informática se encuentra en el pleno centro de la sociedad contemporánea, habiendo desarrollado una amplia variedad de prestaciones que nos hacen disfrutar a...

Lacoste y Pantone crean un color para salvar los Everglades, la reserva donde conviven cocodrilos y caimanes

En dos mil dieciocho, Lacoste decidió mudar el cocodrilo de su logotipo por otras especies en riesgo de extinción para mentalizar sobre esta realidad...

De qué forma activar Microsoft Project y Visio 2019/2016 Sin costo

El día de hoy te vamos a mostrar de qué manera activar Microsoft Project y Visio 2019/2016 sin coste, sin programas...

Burger King oculta sus pedidos en bolsas de McDonald’s para gastar una gracieta a sus clientes del servicio

El pasado 1 de abril se festejó el «April Fools Day» (algo como nuestro Día de los Inocentes) en numerosos países del planeta y...

LG sostendrá actualizados sus navíos insignia de dos mil diecinueve y dos mil veinte

LG aclaró que tras el cierre de la división de móviles, los móviles inteligentes insignia Velvet, Wing, como los modelos de las series dos...

FlixOnline: una aplicación maliciosa disfrazada de «Netflix» que se extiende por medio de mensajes de WhatsApp

Estudiosos de Check Point Research, la División de Inteligencia de Amenazas de Check Point, han descubierto últimamente una nueva amenaza maliciosa en Play Store...