FlixOnline Malware

無料のNetflixを約束する偽のアプリケーションが、FlixOnlineというマルウェアの脅威を配信しているのを発見されました。武器化されたアプリケーションは、Googleのセーフガードをなんとかすり抜けてしまい、2か月間、公式のPlayストアからダウンロードできるようになりました。その間、500人を超えるユーザーがFlixOnlineマルウェアの脅威に感染していたことが研究者によって発見されました。目標は、入力されたすべての情報をスクレイプする特別に細工された偽のNetflixWebサイトにユーザーを誘導することです。ハッカーは主に、被害者のログイン資格情報とクレジット/デビットカードの詳細を追跡していました。

このアプリケーションは、無料のNetflixの約束でユーザーを魅了しました-「世界のどこでも60日間のNetflixプレミアム無料の2か月」。ただし、インストールされると、有害なペイロードは、ユーザーのWhatsAppクライアントへの接続を乗っ取ることができるかなり斬新な手法を開始しました。実際には、FlixOnlineは、通知リスナーのアクセス許可を要求することにより、着信通知を傍受しました。これにより、脅威は受信したメッセージに関するすべての通知にアクセスし、「却下」や「返信」などの指定されたアクションを自動的に実行できます。マルウェアはこの許可を最大限に活用しました。

WhatsApp通知を乗っ取るによる自己伝播

FlixOnlineは、OnNotificationPostedという関数を使用して、特定の通知を作成するアプリケーションのパッケージ名を確認します。そのアプリケーションがWhatsAppの場合、マルウェアは通知をキャンセルしてユーザーから非表示にし、タイトルとコンテンツの読み取りに進みます。最後のステップは、コマンドアンドコントロールサーバーから受信したペイロードを使用して自動応答を送信することです。ほとんどの場合、この方法で作成された発信WhatsApp応答は、FlixOnlineマルウェアをさらに拡散するために使用されました。脅威によって作成された1つの観察された自動メッセージは次のとおりです。

'2か月のNetflixプレミアム無料無料検疫の理由（コロナウイルス）*世界中のどこでも60日間2か月のNetflixプレミアム無料を入手できます。ここで今すぐ入手[リンク]。

通知リスナーに加えて、マルウェアの脅威は、オーバーレイとバッテリーの最適化を無視する権限も要求します。オーバーレイは、アカウントの資格情報やその他の機密情報を収集する目的でユーザーが起動した正当なアプリケーションの上に、偽のログイン画面などの新しいウィンドウを生成するために、データ収集マルウェアの脅威によって悪用されることがよくあります。バッテリー最適化無視権限は、その名前が示すように、感染したAndroidデバイスがアイドルモードになった場合でもFlixOnlineマルウェアが動作し続けることを保証します。

FlixOnlineの偽のアプリケーションについて通知を受けた後、GoogleはすぐにPlayストアからそれを削除しました。