Logiciel malveillant FlixOnline

Une fausse application promettant Netflix gratuitement a été surprise en train de livrer une menace de malware nommée FlixOnline. Les applications militarisées avaient réussi à échapper aux garanties de Google et, pendant deux mois, étaient disponibles en téléchargement sur le Play Store officiel. Au cours de cette période, plus de 500 utilisateurs ont été infectés par la menace du logiciel malveillant FlixOnline, ont découvert les chercheurs. Le but est de diriger les utilisateurs vers un faux site Web Netflix spécialement conçu qui gratte toutes les informations qui y sont entrées. Les pirates informatiques recherchaient principalement les informations de connexion de la victime et les détails de la carte de crédit / débit.

L'application a attiré les utilisateurs avec des promesses de Netflix gratuit - «2 mois de Netflix Premium gratuit partout dans le monde pendant 60 jours». Une fois installée, cependant, la charge utile nuisible a lancé une technique plutôt nouvelle qui lui a permis de détourner la connexion au client WhatsApp de l'utilisateur. En pratique, FlixOnline a intercepté toutes les notifications entrantes en demandant une autorisation d'écoute de notification. Cela permet à la menace d'accéder à toutes les notifications concernant les messages reçus et d'effectuer automatiquement des actions désignées telles que «rejeter» ou «répondre». Le malware a pleinement profité de cette autorisation.

Auto-propagation en détournant les notifications WhatsApp

FlixOnline emploierait une fonction appelée OnNotificationPosted pour vérifier le nom du package de l'application qui crée une notification donnée. Si cette application est WhatsApp, le logiciel malveillant annulera la notification pour la masquer à l'utilisateur, puis procédera à la lecture de son titre et de son contenu. La dernière étape consiste à envoyer une réponse automatisée à l'aide d'une charge utile reçue du serveur de commande et de contrôle. Dans la plupart des cas, les réponses WhatsApp sortantes créées de cette manière ont été utilisées pour propager davantage le malware FlixOnline. Un message automatisé observé créé par la menace est:

'2 mois de Netflix Premium gratuit sans frais Pour RAISON DE QUARANTAINE (CORONA VIRUS) * Obtenez 2 mois de Netflix Premium gratuit partout dans le monde pendant 60 jours. Obtenez-le maintenant ICI [LIEN]. '

En plus de Notification Listener, la menace de malware demande également des autorisations Overlay et Battery Optimization Ignore. Une superposition est souvent exploitée par des menaces de logiciels malveillants collectant des données pour générer de nouvelles fenêtres, telles que de faux écrans de connexion, en plus des applications légitimes lancées par l'utilisateur dans le but de collecter les informations d'identification du compte et d'autres détails sensibles. L'autorisation Ignorer l'optimisation de la batterie, comme son nom l'indique, garantit que le malware FlixOnline restera opérationnel même lorsque l'appareil Android infecté passe en mode veille.

Après avoir été informé de la fausse application FlixOnline, Google l'a rapidement retirée du Play Store.