Исследователи кибербезопасности обнаружили еще одного червя-вредоноса под Android, но на этот раз распространяющегося непосредственно с официального Google Play Store, а также через сообщения WhatsApp.
Вредоносная программа замаскирована под приложение Netflix под названием «FlixOnline» и поставляется с функциями, которые позволяют ей автоматически отвечать на входящие WhatsApp-сообщения жертвы с вредоносной нагрузкой, полученной с CnC-сервера.
«На самом деле, приложение предназначено для мониторинга пользовательских уведомлений WhatsApp, а также для отправки автоматических ответов на входящие сообщения пользователя используя контент, который получает с удаленного CnC-сервера», - сообщают исследователи Check Point в своем аналитическом материале.
Помимо маскировки под приложение Netflix, вредоносное приложение «FlixOnline» также запрашивает интрузивные разрешения, которые позволяют ему создавать поддельные экраны входа для других приложений с целью кражи учетных данных и получения доступа ко всем уведомлениям на устройстве. Это используется для сокрытия от пользователя уведомлений WhatsApp и автоматического ответа на них».
«Техника вредоносной программы достаточно инновационна», - заявляет Авиран Хазум, менеджер по мобильной разведке Check Point. «Технология заключается в перехвате уведомлений, а также в возможности угона сессий WhatsApp через выполнение заранее определенных действий, таких как «сброс» или «ответ» через диспетчер уведомлений».
Успешное заражение может позволить вредоносной программе распространяться дальше по ссылкам, красть данные из учетных записей пользователей WhatsApp, распространять вредоносные сообщения на контакты и группы пользователей WhatsApp и даже шантажировать пользователей, угрожая утечкой конфиденциальных данных WhatsApp или разговоров.
Приложение было удалено из Play Store, но за два месяца оно было скачано в общей сложности 500 раз.
«FlixOnline» - второй случай, когда вредоносное приложение распространялось с помощью WhatsApp. В январе 2021 года исследователь ESET Лукас Стефанько раскрыл поддельное приложение Huawei Mobile, которое использовало ту же схему для выполнения атаки.
Более того, при открытии приложения, пользователям выводилось одно и то же сообщение – «Нам нужно ваше разрешение на доступ к приложению. Это поможет приложению обеспечить лучшую функциональность», - что указывает на то, что оба приложения могут быть либо работой одного и того же злоумышленника, либо, что авторы «FlixOnline» черпали вдохновение в приложении «Huawei Mobile».
«Тот факт, что вредоносная программа смогла так легко замаскироваться и в конечном итоге обойти защиту Play Store, внушает серьезные опасения», - заявил Хазум. «Хотя мы остановили одну кампанию по распространению вредоносного программного обеспечения, семейство подобных вредоносных программ, скорее всего, никуда не денется. Вредонос может вернуться спрятанным в другом приложении».
«Пользователи должны опасаться ссылок на скачивание или вложений, которые они получают через WhatsApp или другие приложения для обмена сообщениями, даже когда они, кажется, исходят от доверенных контактов или групп обмена», - добавил Хазум.
Перевод сделан со статьи: https://thehackernews.com