A Check Point descobriu um malware em aplicativo da Google Play Store. Apresentando-se como um serviço da Netflix, o “FlixOnline” prometia acesso ilimitado ao conteúdo da famosa plataforma de streaming. Assim que o aplicativo era baixado, o malware disseminava-se por meio do WhatsApp entre os grupos e contatos da vítima para os quais eram enviados automaticamente links maliciosos. Apesar de terem conseguido bloquear essa campanha, os pesquisadores da Check Point alertam sobre a possibilidade de a família de malware permanecer e ainda poder retornar oculta em um aplicativo diferente.
Potenciais consequências da infecção do seu dispositivo móvel
Se for bem-sucedido, o malware permite que seus “agentes” executem uma série de atividades maliciosas, como:
• Disseminar malware por meio de links fraudulentos;
•Roubar credenciais e dados das contas de WhatsApp dos usuários;
• Disseminar mensagens falsas ou prejudiciais entre os contatos e grupos de WhatsApp da vítima – por exemplo, grupos de trabalho.
O malware foi projetado para ser wormable, o que significa que pode se espalhar de um dispositivo Android para outro depois que o usuário Android clica no link enviado na mensagem e baixa o malware.
Por trás de uma falsa “Netflix”
Os pesquisadores da Check Point revelam que o malware se escondia em uma aplicação da Google Play Store chamada “FlixOnline”. O aplicativo apresentava-se como um serviço que permitiria aos usuários assistir a conteúdo da Netflix de vários países. Na verdade, tratava-se de uma plataforma criada para monitorar as notificações de WhatsApp dos usuários, enviando respostas automáticas a mensagens recebidas.
Como funciona o malware
1) A vítima instala o malware da Google Play Store;
2) O malware começa a “ouvir” as novas notificações no WhatsApp;
3) O malware responde a todas as mensagens do WhatsApp que a vítima recebe com uma resposta elaborada pelos atacantes.
4) Nesta campanha, a resposta foi um site falso da Netflix que procurava obter as credenciais e informações de cartão de crédito.
Autorizações de acesso requeridas pelo “FlixOnline”
A mensagem do WhatsApp com script era:
O malware enviou a seguinte resposta automática às mensagens recebidas do WhatsApp de suas vítimas, tentando atrair outras pessoas com a oferta de um serviço gratuito da Netflix: “2 meses de Netflix Premium grátis sem custo por MOTIVO DA QUARENTENA (CORONAVÍRUS) * Obtenha 2 meses de Netflix Premium Free em qualquer lugar do mundo por 60 dias. Obtenha agora AQUI [https: // bit [.] Ly / 3bDmzUw] https: // bit [.] Ly / 3bDmzUw “.
“O fato de o malware ter conseguido ultrapassar tão facilmente as barreiras de segurança da loja oficial levanta sérias bandeiras vermelhas. Apesar de termos conseguido bloquear uma das campanhas, é provável que a família de malware permaneça de modo a regressar, por exemplo, em um aplicativo diferente”, diz Aviran Hazum, gerente de Inteligência Móvel da Check Point.
Dicas para os usuários de Android
• Instalar uma solução de segurança no seu dispositivo;
• Fazer downloads somente a partir de fornecedores oficiais;
• Manter seu dispositivo móvel e respectivos aplicativos sempre atualizados.
A equipe da Check Point Research revelou responsavelmente suas conclusões ao Google que removeu o aplicativo malicioso prontamente. Ao longo de dois meses, o aplicativo “FlixOnline” foi baixado cerca de 500 vezes. Os pesquisadores da Check Point também compartilharam suas descobertas com o WhatsApp, embora não haja vulnerabilidade neste aplicativo de mensagens instantâneas e chamadas de voz.
