FlixOnline Malware

Eine gefälschte Anwendung, die kostenloses Netflix verspricht, wurde bei der Bereitstellung einer Malware-Bedrohung namens FlixOnline erwischt. Die bewaffneten Anwendungen hatten es geschafft, sich den Sicherheitsvorkehrungen von Google zu entziehen, und standen zwei Monate lang im offiziellen Play Store zum Download zur Verfügung. Während dieser Zeit waren über 500 Benutzer mit der FlixOnline-Malware-Bedrohung infiziert, stellten Forscher fest. Ziel ist es, Benutzer auf eine speziell gestaltete gefälschte Netflix-Website zu verweisen, auf der alle eingegebenen Informationen ausgekratzt werden. Die Hacker waren hauptsächlich nach den Anmeldeinformationen des Opfers und den Kredit- / Debitkartendaten.

Die Anwendung lockte Benutzer mit dem Versprechen von kostenlosem Netflix an - "2 Monate Netflix Premium Free 60 Tage lang kostenlos überall auf der Welt". Bei der Installation löste die schädliche Nutzlast jedoch eine ziemlich neuartige Technik aus, die es ihr ermöglichte, die Verbindung zum WhatsApp-Client des Benutzers zu entführen. In der Praxis hat FlixOnline eingehende Benachrichtigungen abgefangen, indem eine Benachrichtigungs-Listener-Berechtigung angefordert wurde. Auf diese Weise kann die Bedrohung auf alle Benachrichtigungen über empfangene Nachrichten zugreifen und bestimmte Aktionen wie "Ablehnen" oder "Antworten" automatisch ausführen. Die Malware hat diese Berechtigung voll ausgenutzt.

Selbstverbreitung durch Entführung von WhatsApp-Benachrichtigungen

FlixOnline würde eine Funktion namens OnNotificationPosted verwenden, um nach dem Paketnamen der Anwendung zu suchen, die eine bestimmte Benachrichtigung erstellt. Wenn es sich bei dieser Anwendung um WhatsApp handelt, bricht die Malware die Benachrichtigung ab, um sie vor dem Benutzer zu verbergen, und liest dann Titel und Inhalt. Der letzte Schritt besteht darin, eine automatische Antwort unter Verwendung einer vom Command-and-Control-Server empfangenen Nutzlast zu senden. In den meisten Fällen wurden die auf diese Weise erstellten ausgehenden WhatsApp-Antworten verwendet, um die FlixOnline-Malware weiter zu verbreiten. Eine beobachtete automatisierte Nachricht, die durch die Bedrohung erstellt wurde, ist:

'2 Monate Netflix Premium Free kostenlos Aus Gründen der Quarantäne (CORONA VIRUS) * Erhalten Sie 60 Monate lang 2 Monate Netflix Premium Free für 60 Tage weltweit. Hol es dir jetzt HIER [LINK]. '

Zusätzlich zum Notification Listener werden bei der Malware-Bedrohung auch die Berechtigungen "Überlagerung" und "Batterieoptimierung ignorieren" angefordert. Ein Overlay wird häufig von Malware-Bedrohungen beim Sammeln von Daten ausgenutzt, um neue Fenster wie gefälschte Anmeldebildschirme zusätzlich zu den vom Benutzer gestarteten legitimen Anwendungen mit dem Ziel zu generieren, Kontoanmeldeinformationen und andere vertrauliche Details zu sammeln. Die Berechtigung zum Ignorieren der Batterieoptimierung stellt, wie der Name schon sagt, sicher, dass die FlixOnline-Malware auch dann betriebsbereit bleibt, wenn das infizierte Android-Gerät in den Leerlaufmodus wechselt.

Nachdem Google über die gefälschte FlixOnline-Anwendung informiert wurde, wurde sie umgehend aus dem Play Store entfernt.