Los investigadores de ciberseguridad han descubierto otro malware de Android, pero esta vez se puede descargar directamente de la tienda oficial de Google Play Store, que puede propagarse a través de los mensajes de WhatsApp.
Disfrazado como una aplicación maliciosa de Netflix bajo el nombre de «FlixOnline», el malware viene con características que le permiten responder automáticamente a los mensajes entrantes de WhatsApp de una víctima con una carga útil recibida de un servidor de comando y control (C&C).
«La aplicación está diseñada para monitorear las notificaciones de WhatsApp del usuario y para enviar respuestas automáticas a los mensajes entrantes del usuario utilizando contenido que recibe de un servidor C&C remoto», dijeron los investigadores de Check Point en un análisis publicado hoy.
Además de hacerse pasar por una aplicación de Netflix, la aplicación maliciosa «FlixOnline» también solicita permisos intrusivos que le permiten crear pantallas de inicio de sesión falsas para otras aplicaciones, con el objetivo de robar credenciales y obtener acceso a todas las notificaciones recibidas en el dispositivo, usándola para ocultar las notificaciones de WhatsApp del usuario y responden automáticamente con una carga útil especialmente diseñada recibida del servidor de C&C.
«La técnica del malware es bastante nueva e innovadora», dijo Aviran Hazum, gerente de inteligencia móvil en Check Point. «La técnica aquí es secuestrar la conexión a WhatsApp mediante la captura de notificaciones, junto con la capacidad de realizar acciones predefinidas, como ‘descartar’ o ‘responder’ a través del Administrador de notificaciones».
Una infección exitosa podría permitir que el malware se propague más a través de enlaces maliciosos, robar datos de las cuentas de WhatsApp de los usuarios, propagar mensajes maliciosos a los contactos y grupos de WhatsApp de los usuarios e incluso extorsionar a los usuarios amenazando con filtrar datos o conversaciones confidenciales de WhatsApp.
Desde entonces, la aplicación ha sido eliminada de Google Play Store, pero no antes de atraer un total de 500 descargas en el transcurso de dos meses.
FlixOnline también marca la segunda vez que se detecta una aplicación maliciosa que usa WhatsApp para propagar el malware. En enero de 2021, el investigador de ESET Lukas Stefanko reveló una aplicación móvil de Huawei falsa que empleaba el mismo modus operandi para realizar el ataque de gusanos.
Además, el mensaje que se muestra a los usuarios al abrir las aplicaciones es el mismo: «Necesitamos su permiso para acceder a la aplicación. Ayudará a la aplicación (sic) a proporcionar una mejor funcionalidad», lo que sugiere que las dos aplicaciones podrían ser obra del mismo atacante o que los autores de FlixOnline se inspiraron en la aplicación Huawei Mobile.
«El hecho de que el malware se haya podido disfrazar tan fácilmente y, en última instancia, eludir las protecciones de Play Store genera algunas señales de alerta», dijo Hazum. «Aunque detuvimos una campaña del malware, es probable que la familia del malware esté aquí para quedarse. El malware puede regresar oculto en una aplicación diferente».
«Los usuarios deben tener cuidado con los enlaces de descarga o los archivos adjuntos que reciben a través de WhatsApp u otras aplicaciones de mensajería, incluso cuando parecen provenir de contactos de confianza o grupos de mensajería», agregó Hazum.