La compañía de ciberseguridad Check Point Research (CPR) ha alertado sobre la presencia de un malware oculto en una aplicación de Google Play llamada FlixOnline que, haciéndose pasar por Netflix, se propaga a través de conversaciones de WhatsApp. Además, puede enviar más contenido malicioso a través de respuestas automáticas a los mensajes entrantes de WhatsApp, permitiendo, mediante un servidor de comando y control remoto, que un pirata informático distribuya ataques de phishing, malware e información falsa a los contactos y grupos de WhatsApp, así como robar las contraseñas y los datos de las cuentas de los usuarios y sus conversaciones.
Según Check Point, sus investigadores han observado un aumento en el número de ataques relacionados con dispositivos móviles, así como nuevos métodos de hacerlo. En el caso de esta aplicación, se trata de un servicio falso que pretende permitir a los usuarios ver contenido de Netflix en sus teléfonos móviles. Sin embargo, los usuarios no verán ese contenido, sino que la app monitoreará las notificaciones de la cuenta de WhatsApp del usuario y enviará respuestas automáticas a los mensajes entrantes del usuario utilizando el contenido que recibe de un servidor de comando y control remoto.
Para atraer a los usuarios, el mensaje que envía el malware es una oferta de un servicio gratuito de Netflix: «2 meses de Netflix Premium gratis sin costo POR MOTIVO DE CUARENTENA (VIRUS CORONA). Obtenga 2 meses de Netflix Premium gratis en cualquier parte del mundo durante 60 días. Consíguelo ahora AQUÍ https: // bit [.] Ly / 3bDmzUw».
Permisos de la app
Cuando la aplicación se descarga y se instala, el malware te pide permisos de «superposición», «ignorar las optimización de la batería» y «notificación», explica la empresa de ciberseguridad.
La superposición sirve para que el malware cree una pantalla de «inicio de sesión» falsa para otras aplicaciones y así robar contraseñas.
La amenaza también ignora las optimizaciones de la batería, por lo que evita que el malware se apague, incluso cuando el dispositivo está inactivo durante un período prolongado.
El permiso más destacado es el acceso a notificaciones, sobre todo, el servicio de escucha de notificaciones, puesto que proporciona al malware acceso a todas las notificaciones del dispositivo, pudiendo descartar y responder mensajes recibidos.
De esta forma, si se otorgan esos tres permisos, FlixOnline tiene todo lo que necesita para empezar a distribuir malware y responder a los mensajes entrantes de WhatsApp con respuestas automáticas con las que pueden robar datos, causar «interrupciones comerciales» en grupos de chat del trabajo e incluso extorsionar al usuario con enviar datos confidenciales a todos sus contactos.
Check Point ha notificado a Google la existencia de esta aplicación maliciosa y ya ha sido eliminada de Play Store. No obstante, FlixOnline ya ha recibido 500 descargas en dos meses, por lo que si un usuario está infectado deberá eliminar la aplicación de su dispositivo y cambiar todas sus contraseñas.
Asimismo, para mantener el dispositivo protegido contra un malware, se aconseja actualizar siempre la última versión del sistema operativo, instalar solo aplicaciones de tiendas de aplicaciones oficiales, habilitar el «borrado remoto» e instalar un antivirus en el dispositivo.
«Los usuarios deben tener cuidado con los enlaces de descarga o los archivos adjuntos que reciben a través de WhatsApp u otras aplicaciones de mensajería, incluso cuando parecen provenir de contactos o grupos de mensajería de confianza», asegura la compañía de ciberseguridad.