Мошенники распространяли в Google Play вредоносное ПО под видом приложения Netflix

В случае успешной инсталляции программа позволяет злоумышленникам распространять вредоносное ПО через ссылки, похищать информацию и данные из учетных записей пользователей WhatsApp, а также распространять поддельные или вредоносные сообщения среди контактов и групп в WhatsApp. Вредоносное ПО было специально разработано таким образом, чтобы распространяться между устройствами. Оно способно переходить с одного устройства на другое сразу после того, как пользователь Android кликнет на ссылку в сообщении.

Исследователи подразделения Check Point Research предоставили данные о найденном вредоносном ПО Google, впоследствии приложение было удалено. Результаты исследований были также отправлены и компании WhatsApp, хотя на ее стороне уязвимостей обнаружено не было.

За два месяца приложение FlixOnline было загружено примерно 500 раз. Несмотря на то, что одна такая кампания была остановлена, семейство подобных вредоносных программ остается существовать и, скорее всего, вернется уже через другое приложение.

«В данном случае злоумышленники использовали довольно новую технику атак, а также методику перехвата соединения с WhatsApp через захват уведомлений и возможность выполнения предопределенных действий «отклонить» или «ответить». Тот факт, что вредоносное ПО удалось так легко замаскировать и в конечном итоге обойти защиту Play Store, вызывает серьезные опасения, — комментирует Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. — К счастью, Check Point Research удалось обнаружить вредоносное ПО на раннем этапе и быстро сообщить о нем Google, который также оперативно отреагировал. Я рекомендую с осторожностью относиться к ссылкам для скачивания или вложениям, которые приходят даже от доверенных контактов. В России WhatsApp — один из самых популярных мессенджеров, и хакеры всегда будут использовать инструменты, которые актуальны для многих. Если заподозрили атаку, немедленно удалите приложение и измените все свои пароли».

Как работает вредоносное ПО:

1. Пользователь устанавливает приложение с вредоносным ПО из магазина Google Play
2. Вредоносная программа начинает «прислушиваться» к новым уведомлениям в WhatsApp
3. Вредоносное ПО отвечает на каждое сообщение WhatsApp специальным текстом, загруженным с удаленного сервера
4. Злоумышленники распространяли сообщения с использованием бренда Netflix и ссылкой на фишинговый сайт, созданный для похищения учетных данных и информации о кредитных картах пользователей

Злоумышленники использовали следующий текст в WhatsApp:

“2 Months of Netflix Premium Free at no cost For REASON OF QUARANTINE (CORONA VIRUS) Get 2 Months of Netflix Premium Free anywhere in the world for 60 days. Get it now HERE https://bit[.]ly/3bDmzUw” — «2 месяца Netflix Premium бесплатно ИЗ-ЗА КАРАНТИНА (CORONA VIRUS) Получите 2 месяца Netflix Premium бесплатно в любой точке мира на 60 дней. Получите сейчас ЗДЕСЬ»

Рис.1. Приложение FlixOnline в Google Play

Рис 2. FlixOnline, запрос разрешения на доступ

Советы по безопасности для пользователей Android:

1. Установите защитное решение на свое устройство
2. Скачивайте приложения только с официальных маркетплейсов
3. Своевременно обновляйте свое устройство и приложения

По материалам Check Point Research