Los investigadores de seguridad cibernética han descubierto otra pieza de malware de Android que funciona con gusanos, pero esta vez se puede descargar directamente desde la tienda oficial de Google Play, que es capaz de propagarse a través de mensajes de WhatsApp.
Disfrazado como una aplicación maliciosa de Netflix bajo el nombre de «FlixOnline», el malware viene con funciones que le permiten responder automáticamente a los mensajes entrantes de WhatsApp de una víctima con una carga recibida de un servidor de comando y control (C&C).
«La aplicación en realidad está diseñada para monitorear las notificaciones de WhatsApp del usuario y enviar respuestas automáticas a los mensajes entrantes del usuario utilizando el contenido que recibe de un servidor C&C remoto», dijeron los investigadores de Check Point en un análisis publicado hoy.
Además de hacerse pasar por una aplicación de Netflix, la aplicación maliciosa «FlixOnline» también solicita permisos intrusivos que le permiten crear pantallas de inicio de sesión falsas para otras aplicaciones, con el objetivo de robar credenciales y obtener acceso a todas las notificaciones recibidas en el dispositivo, usándolo para ocultar Notificaciones de WhatsApp del usuario y respuesta automática con una carga útil especialmente diseñada recibida del servidor C&C.
«La técnica del malware es bastante nueva e innovadora», dijo Aviran Hazum, gerente de inteligencia móvil de Check Point. «La técnica aquí es secuestrar la conexión a WhatsApp mediante la captura de notificaciones, junto con la capacidad de realizar acciones predefinidas, como ‘descartar’ o ‘responder’ a través del Administrador de notificaciones».
Una infección exitosa podría permitir que el malware se propague aún más a través de enlaces maliciosos, robar datos de las cuentas de WhatsApp de los usuarios, propagar mensajes maliciosos a los contactos y grupos de WhatsApp de los usuarios e incluso extorsionar a los usuarios amenazándolos con filtrar datos o conversaciones confidenciales de WhatsApp.
Desde entonces, la aplicación se eliminó de Play Store, pero no antes de atraer un total de 500 descargas en el transcurso de dos meses.
FlixOnline también marca la segunda vez que se detecta una aplicación maliciosa usando WhatsApp para propagar el malware. En enero de 2021, el investigador de ESET, Lukas Stefanko, reveló una aplicación móvil de Huawei falsa que empleaba el mismo modus operandi para realizar el ataque de gusanos.
Además, el mensaje que se muestra a los usuarios al abrir las aplicaciones es el mismo: «Necesitamos su permiso para acceder a la aplicación. Ayudará a la aplicación (sic) a proporcionar una mejor funcionalidad», lo que sugiere que las dos aplicaciones podrían ser obra del mismo atacante o que los autores de FlixOnline se inspiraron en la aplicación Huawei Mobile.
«El hecho de que el malware pudiera disfrazarse tan fácilmente y, en última instancia, eludir las protecciones de Play Store genera algunas señales de alerta graves», dijo Hazum. «Aunque detuvimos una campaña del malware, es probable que la familia de malware esté aquí para quedarse. El malware puede regresar oculto en una aplicación diferente».
«Los usuarios deben tener cuidado con los enlaces de descarga o los archivos adjuntos que reciben a través de WhatsApp u otras aplicaciones de mensajería, incluso cuando parecen provenir de contactos o grupos de mensajería de confianza», agregó Hazum.
