Check Point Research odhalil nový malware v oficiálním obchodu Google Play. Malware mimo jiné automaticky odpovídá na všechny příchozí zprávy ve WhatsApp a využívá obsah zasílaný hackery ze vzdáleného řídícího serveru. Malware se v tomto případě ukrýval v aplikace FlixOnline, která napodobovala Netflix a slibovala Netflix Premium zdarma na 2 měsíce.
#Android #Malware that distribute itself over #WhatsApp messages found on #GooglePlay. The malware hijack the notification's predefined action "reply" to send messages on the victim's behalf.@_CPResearch_ https://t.co/w6CzJKQ30l
— Aviran Hazum (@MrHazum) April 7, 2021
Hackeři mohou s pomocí malwaru provádět řadu škodlivých aktivit, například:
- Šířit malware prostřednictvím škodlivých odkazů
- Krást přihlašovací údaje a data uživatelů
- Šířit podvodné nebo škodlivé zprávy prostřednictvím WhatsApp
- Vydírat uživatele a hrozit zveřejněním citlivých dat a konverzací z WhatsApp
Jakmile uživatel Androidu klikne na odkaz ve zprávě a stáhne malware, může se malware šířit na další zařízení. Jak škodlivý kód funguje?
- Oběť nainstaluje škodlivou aplikaci z obchodu Google Play
- Malware začne sledovat nová upozornění ve WhatsApp
- Malware reaguje na každou zprávu ve WhatsApp a jménem obětí odpovídá zprávou předvytvořenou hackery
- V této kampani byly odpovědi zaměřené na falešný web Netflix a cílem byly krádeže přihlašovacích údajů a informací o platební kartě
Malware ve falešné aplikaci „Netflix“ a škodlivé zprávy ve WhatsApp
Check Point objevil malware v aplikaci FlixOnline v Google Play. FlixOnline napodobuje Netflix, využívá dokonce i jeho loga a láká uživatele na obsah Netflixu. Ve skutečnosti ale aplikace odposlouchává oznámení ve WhatsAppu, odesílá automatické odpovědi na příchozí zprávy a pokouší se nalákat další oběti na bezplatné služby Netflix: „Zdarma Netflix Premium na 2 měsíce z důvodu karantény (koronavirus) * Získejte zdarma Netflix Premium na 2 měsíce kdekoli na světě na 60 dnů. Stačí kliknout ZDE https://bit[.]ly/3bDmzUw.“
FlixOnline si na začátku vyžádá některá oprávnění, což mu umožňuje efektivnější maskování a škodlivé aktivity. Check Point odpovědně informoval společnost Google, která aplikaci odstranila. V průběhu dvou měsíců byla aplikace FlixOnline stažena přibližně 500krát. Výzkumný tým Check Point Research informoval také WhatsApp, ačkoli se nejedná o zranitelnost na straně WhatsApp.
„Malware používá poměrně novou a inovativní techniku. Snaží se zneužít WhatsApp a automaticky odpovídat jménem oběti na všechny příchozí zprávy. Je znepokojivé, že hrozba dokázala obejít i bezpečnostní mechanismy obchodu Google Play. Jednu kampaň jsme sice zastavili, ale je pravděpodobné, že takhle rafinovaný malware se vrátí znovu a ukryje se v jiné aplikaci,“ říká Petr Kadrmas, Security Engineer Eastern Europe v kyberbezpečnostní společnosti Check Point. „Uživatelé by neměli spoléhat jen na ochranu Google Play, ale měli by si nainstalovat i nějaké pokročilé mobilní bezpečnostní řešení. Malware jsme naštěstí detekovali brzy a Google aplikaci obratem odstranil. Uživatelé by si v každém případě měli dávat pozor na odkazy nebo přílohy ve zprávách z WhatsApp a jiných chatovacích aplikací, i když se může zdát, že zpráva pochází od důvěryhodného kontaktu. Pokud máte podezření, že jste se stali obětí, okamžitě aplikaci ze svého zařízení odstraňte a změňte všechna svá hesla.“
Více informací najdete v analýze kyberbezpečnostní společnosti Check Point na tomto odkazu.