Crédito: CC0 Public Domain
Una nueva forma de malware de Android ha comenzado a extenderse, creando respuestas automáticas en WhatsApp. Check Point Research descubrió recientemente malware en una aplicación falsa en Google Play.
Ahora, todos los usuarios que descargaron la aplicación maliciosa y les otorgaron los permisos necesarios, el malware puede usar la respuesta automática en WhatsApp para enviar cargas útiles maliciosas a los usuarios a través del servidor de comando y control (C&C). Esta estrategia ecléctica puede ayudar a los atacantes con ataques de phishing, robo de credenciales y datos de WhatsApp, así como información falsa y otras actividades ilegales.
Una aplicación falsa en Google Play ha sido apodada “FlixOnline”, un servicio falso que afirma permitir a los usuarios disfrutar del servicio de transmisión de Netflix desde cualquier parte del mundo. Sin embargo, en lugar de proporcionar acceso a Netflix, la aplicación interactúa con la cuenta de WhatsApp del usuario para enviar respuestas automáticas falsas. De hecho, los atacantes pueden incluso extorsionar a los usuarios amenazando con vender sus conversaciones y datos personales de WhatsApp a todos los contactos de los usuarios.
Cuando un usuario descarga e instala una aplicación de Play Store, el malware inicia un servicio que solicita permisos de “Superposición”, “Ignorar optimización de batería” y “Notificación”. Los permisos como Overlay permiten a los atacantes abrir nuevas ventanas sobre las aplicaciones existentes para crear portales de inicio de sesión falsos para robar las credenciales de los usuarios. Ignorar la optimización de la batería permite a un atacante mantener el malware en ejecución incluso después de que el teléfono esté inactivo para conservar la energía de la batería. Finalmente, el permiso de notificación permite a los atacantes ver todas las notificaciones sobre los mensajes enviados al dispositivo del usuario, incluida la capacidad de descartar o responder a estos mensajes.
Después de obtener dichos permisos, el malware oculta su icono, por lo que el software no se puede eliminar fácilmente. La aplicación se oculta con actualizaciones del servidor C&C que reconfigura el malware de forma rutinaria. La forma en que puede ocurrir este cambio de configuración es si el servidor C&C realiza una actualización de la aplicación cuando se ejecuta malware en el dispositivo. En particular, el servidor utiliza la devolución de llamada OnNotificationPosted para actualizar automáticamente el malware.
De hecho, tan pronto como el malware detecta una notificación de mensaje nuevo, la aplicación incorrecta oculta la notificación al usuario, por lo que solo el malware puede mostrar el mensaje. próximo software malicioso inicia una devolución de llamada para enviar al usuario una falsa respuesta automática.
Desde que Check Point Research informó a Google sobre esta aplicación maliciosa, Google ha eliminado esta aplicación incorrecta de Play Store. Antes de la eliminación, esta aplicación se descargó aproximadamente 500 veces.
Hazum, A. et al. “El nuevo malware con gusanos para Android se propaga mediante la creación de respuestas automáticas a los mensajes de WhatsApp”. Check Point Research, Check Point Software Technologies, 7 de abril de 2021, research.checkpoint.com/2021/n… essages-in-whatsapp /.
© 2021 Science X Network