Aplicación falsa de Netflix en Google Play propaga malware a través de WhatsApp

Disfrazado como una aplicación maliciosa de Netflix bajo el nombre de «FlixOnline», el malware viene con características que le permiten responder automáticamente a los mensajes entrantes de WhatsApp de la víctima con una carga útil recibida de un servidor de comando y control (C&C).

«La aplicación está diseñada para monitorear las notificaciones de WhatsApp del usuario y para enviar respuestas automáticas a los mensajes entrantes del usuario utilizando contenido que recibe de un servidor C&C remoto», dijeron los investigadores de Check Point en un análisis.

Además de hacerse pasar por una aplicación de Netflix, la aplicación maliciosa «FlixOnline» también solicita permisos intrusivos que le permiten crear pantallas de inicio de sesión falsas para otras aplicaciones, con el objetivo de robar credenciales y obtener acceso a todas las notificaciones recibidas en el dispositivo, usándola para ocultar Notificaciones de WhatsApp del usuario y responda automáticamente con una carga útil especialmente diseñada recibida del servidor de C&C.

«La técnica del malware es bastante nueva e innovadora», dijo Aviran Hazum, gerente de inteligencia móvil en Check Point. «La técnica aquí es secuestrar la conexión a WhatsApp mediante la captura de notificaciones, junto con la capacidad de realizar acciones predefinidas, como ‘descartar’ o ‘responder’ a través del Administrador de notificaciones».

Una infección exitosa podría permitir que el malware se propague más a través de enlaces maliciosos, robar datos de las cuentas de WhatsApp de los usuarios, propagar mensajes maliciosos a los contactos y grupos de WhatsApp de los usuarios e incluso extorsionar a los usuarios amenazando con filtrar datos o conversaciones confidenciales de WhatsApp.

Desde entonces, la aplicación ha sido eliminada de Play Store, pero no antes de atraer un total de 500 descargas en el transcurso de dos meses.

FlixOnline también marca la segunda vez que se detecta una aplicación maliciosa que usa WhatsApp para propagar el malware. En enero de 2021, el investigador de ESET Lukas Stefanko reveló una aplicación móvil de Huawei falsa que empleaba el mismo modus operandi para realizar el ataque de gusanos.

Además, el mensaje que se muestra a los usuarios al abrir las aplicaciones es el mismo: «Necesitamos su permiso para acceder a la aplicación. Ayudará a la aplicación (sic) a proporcionar una mejor funcionalidad», lo que sugiere que las dos aplicaciones podrían ser obra del mismo atacante o que los autores de FlixOnline se inspiraron en la aplicación Huawei Mobile.