Οι ειδικοί της Check Point Research ανακάλυψαν ένα νέο κακόβουλο λογισμικό για Android που εξαπλώνεται από το ένα smartphone στο άλλο μέσω μηνυμάτων WhatsApp. Η πηγή ήταν μια ψευδής εφαρμογή που δημοσιεύτηκε στο Google Play Store και φέρεται να επιτρέπει την πρόσβαση σε περιεχόμενο Netflix χωρίς συνδρομή.
Οι ερευνητές βρήκαν το κακόβουλο λογισμικό στην εφαρμογή FlixOnline που δημοσιεύτηκε στο store της Google με το λογότυπο του Netflix. Όταν εγκατασταθεί, ξεκινά μια υπηρεσία που απαιτεί τρία δικαιώματα. Ένα από αυτά χρησιμοποιείται για την εμφάνιση μιας οθόνης που συνήθως χρησιμοποιείται για την κλοπή των διαπιστευτηρίων σύνδεσης. Το δεύτερο επιτρέπει να παραμένει ενεργό ακόμα και όταν είναι ενεργοποιημένη η λειτουργία εξοικονόμησης ενέργειας. Η τελευταία άδεια είναι η κύρια, καθώς χρησιμοποιείται για πρόσβαση στις ειδοποιήσεις WhatsApp για εισερχόμενα μηνύματα και για αυτόματη απάντηση.
Στο τέλος της εγκατάστασης, η εφαρμογή αποκρύπτει το εικονίδιο της για να κάνει την αφαίρεση πιο δύσκολη. Το κακόβουλο λογισμικό παρακολουθεί τις ειδοποιήσεις στο WhatsApp, στη συνέχεια τις κρύβει και στέλνει την ακόλουθη απάντηση: “2 Months of Netflix Premium Free at no cost For REASON OF QUARANTINE (CORONA VIRUS). Get 2 Months of Netflix Premium Free anywhere in the world for 60 days. Get it now HERE”(«2 μήνες δωρεάν Netflix Premium χωρίς κόστος ΛΟΓΩ ΚΑΡΑΝΤΙΝΑΣ (CORONA VIRUS). Αποκτήστε 2 μήνες δωρεάν Netflix Premium οπουδήποτε στον κόσμο για 60 ημέρες. Αποκτήστε το τώρα ΕΔΩ»).
Οι εισβολείς μπορούν να εκτελέσουν διάφορες ενέργειες: διάδοση κακόβουλου λογισμικού μέσω συνδέσμων, κλοπή δεδομένων από λογαριασμούς στο WhatsApp, διάδοση ψευδών μηνυμάτων σε επαφές και ομάδες WhatsApp καθώς και απειλή των χρηστών να στείλουν ευαίσθητες συνομιλίες σε όλες τις επαφές.
Αφού έλαβε την αναφορά από το Check Point Research, η Google κατάργησε την εφαρμογή από το κατάστημα. Σε δύο μήνες είχε ληφθεί περίπου 500 φορές.