Depender da popularidade de aplicações não é uma técnica nova, já que vimos uma enxurrada de jogos falsos do Super Mario Run para Android espalhar trojans da mesma forma. Um grupo de especialistas de segurança da Zscaler descobriu que os mesmos cibercriminosos por trás do SpyNote RAT (Remote Access Trojan) decidiu usar essa técnica para atacar usuários que buscam o serviço Netflix.
No lugar do aplicativo de streaming, os hackers utilizaram um trojan de acesso remoto que pode acionar recursos dos dispositivos, como ligar o microfone para ouvir conversas, executar comandos, enviar arquivos para servidor de C&C (Comando e Controle), visualizar contatos, capturar tela e ler ou enviar SMS.
O aplicativo falso foi supostamente criado com uma versão atualizada do SpyNote RAT, que vazou no ano passado. Uma vez instalado, ele apresenta o ícone do Netflix legítimo, mas não deve ser confundido com o real.
Quando o usuário clica pela primeira vez no ícone, ele desaparece da tela inicial e não aparenta acontecer nada. Mas, em segundo plano, o malware inicia uma série de ataques.
O trojan localizado pela equipe da Zscaler utilizava um serviço gratuito de DNS para se comunicar com o servidor C&C e também para acionar serviços, atividades e receptores da plataforma Android para se manter ativo no dispositivo infectado.
* Com informações da Zscaler
