Недавно обнаруженное вредоносное ПО для Android, обнаруженное в магазине Google Play, замаскированное под инструмент Netflix, предназначено для автоматического распространения на другие устройства с помощью автоответчиков WhatsApp на входящие сообщения.
Исследователи из Check Point Research (CPR) обнаружили это новое вредоносное ПО, замаскированное под приложение FlixOnline и пытающееся заманить потенциальных жертв обещаниями бесплатного доступа к контенту Netflix.
Исследователи CPR ответственно передали результаты своих исследований Google, который быстро удалил вредоносное приложение из Play Store.
Вредоносное приложение FlixOnline было загружено примерно 500 раз за два месяца, и оно было доступно для скачивания в магазине.
Отправляет фишинговые сайты через автоматические ответы WhatsApp
После установки приложения на устройстве Android из магазина Google Play вредоносная программа запускает службу, которая запрашивает оверлей, игнорирование оптимизации заряда батареи и разрешения на уведомления.
После предоставления разрешений вредоносная программа сможет создавать наложения поверх любых окон приложений для целей кражи учетных данных, блокировать завершение процесса устройством для оптимизации энергопотребления, получать доступ к уведомлениям приложений, а также управлять сообщениями или отвечать на них.
Затем он начинает мониторинг новых уведомлений WhatsApp, чтобы автоматически отвечать на все входящие сообщения, используя пользовательские текстовые данные, полученные от командно-управляющего сервера и созданные его операторами.
«Здесь используется метод перехвата соединения с WhatsApp путем захвата уведомлений, а также возможность выполнять предопределенные действия, такие как« отклонить »или« ответить »через диспетчер уведомлений», – сказал Авиран Хазум, менеджер по мобильной разведке в Check Point.
«Тот факт, что вредоносное ПО удалось так легко замаскировать и в конечном итоге обойти защиту Play Store, вызывает серьезные опасения».
Check Point заявила, что автоматические ответы, наблюдаемые в этой кампании, перенаправляли жертв на поддельный сайт Netflix, который пытался собрать их учетные данные и информацию о кредитных картах.
Вредоносные ответы, используемые для автоматического распространения
Используя это вредоносное ПО, злоумышленники могли выполнять различные вредоносные действия, в том числе:
- Распространение вредоносного ПО через вредоносные ссылки
- Кража данных из аккаунтов пользователей в WhatsApp
- Рассылка поддельных или вредоносных сообщений контактам и группам пользователей WhatsApp (например, группам, связанным с работой)
- Вымогательство у пользователей путем угроз отправить конфиденциальные данные WhatsApp или разговоры всем их контактам.
Это вредоносное ПО для Android, которое можно использовать, «подчеркивает, что пользователям следует опасаться ссылок для скачивания или вложений, которые они получают через WhatsApp или другие приложения для обмена сообщениями, даже если они кажутся исходящими от доверенных контактов или групп обмена сообщениями», – заключил Check Point.
«Хотя CPR помогла остановить эту единственную вредоносную кампанию, мы подозреваем, что указанное семейство вредоносных программ останется здесь, так как оно может появиться в различных приложениях в Play Store».
Индикаторы компрометации (IOC), включая образцы хэшей вредоносных программ и адрес сервера C2, доступны в конце отчета Check Point.
Еще одно вредоносное ПО для Android, замаскированное под обновление системы, обнаруженное исследователями Zimperium в сторонних магазинах приложений для Android, предоставило злоумышленникам возможности шпионского ПО, которое автоматически запускается, когда новая информация готова к утечке.
По материалам – https://bdroid.ru/