Исследователи компании Check Point® Software Technologies Ltd., ведущего поставщика решений в области кибербезопасности, обнаружили в магазине Google Play новое вредоносное ПО под названием FlixOnline.
Оно маскируется под официальное приложение Netflix и якобы позволяет пользователям просматривать контент стримингового сервиса.
После установки вредоносная программа отслеживает уведомления пользователей в WhatsApp и от их имени отправляет автоматические ответы на входящие сообщения с предложением двухмесячного бесплатного просмотра Netflix Premium из любой точки мира.
В случае успешной инсталляции программа позволяет злоумышленникам распространять вредоносное ПО через ссылки, похищать информацию и данные из учетных записей пользователей WhatsApp, а также распространять поддельные или вредоносные сообщения среди контактов и групп в WhatsApp. Вредоносное ПО было специально разработано таким образом, чтобы распространяться между устройствами. Оно способно переходить с одного устройства на другое сразу после того, как пользователь Android кликнет на ссылку в сообщении.
Исследователи Check Point Research предоставили данные о найденном вредоносном ПО Google, впоследствии приложение было удалено. Результаты исследований были также отправлены и компании WhatsApp, хотя на ее стороне уязвимостей обнаружено не было.
За два месяца приложение FlixOnline было загружено примерно 500 раз. Несмотря на то, что одна такая кампания была остановлена, семейство подобных вредоносных программ остается существовать и, скорее всего, вернется уже через другое приложение.
«В данном случае злоумышленники использовали довольно новую технику атак, а также методику перехвата соединения с WhatsApp через захват уведомлений и возможность выполнения предопределенных действий «отклонить» или «ответить». Тот факт, что вредоносное ПО удалось так легко замаскировать и в конечном итоге обойти защиту Play Store, вызывает серьезные опасения, — комментирует Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. — К счастью, Check Point Research удалось обнаружить вредоносное ПО на раннем этапе и быстро сообщить о нем Google, который также оперативно отреагировал. Я рекомендую с осторожностью относиться к ссылкам для скачивания или вложениям, которые приходят даже от доверенных контактов. В России WhatsApp — один из самых популярных мессенджеров, и хакеры всегда будут использовать инструменты, которые актуальны для многих. Если заподозрили атаку, немедленно удалите приложение и измените все свои пароли».
Как работает вредоносное ПО:
- Пользователь устанавливает приложение с вредоносным ПО из магазина Google Play
- Вредоносная программа начинает «прислушиваться» к новым уведомлениям в WhatsApp
- Вредоносное ПО отвечает на каждое сообщение WhatsApp специальным текстом, загруженным с удаленного сервера
- Злоумышленники распространяли сообщения с использованием бренда Netflix и ссылкой на фишинговый сайт, созданный для похищения учетных данных и информации о кредитных картах пользователей
Злоумышленники использовали следующий текст в WhatsApp: «2 месяца Netflix Premium бесплатно ИЗ-ЗА КАРАНТИНА (CORONA VIRUS). Получите 2 месяца Netflix Premium бесплатно в любой точке мира на 60 дней. Получите сейчас ЗДЕСЬ»
Советы по безопасности для пользователей Android:
- Установите защитное решение на свое устройство
- Скачивайте приложения только с официальных маркетплейсов
- Своевременно обновляйте свое устройство и приложения