Netflix giả mạo trên Google Play Phát tán malware thông qua WhatsApp.



Malware có khả năng lây lan từ Android sang Android bằng cách gửi tin nhắn cung cấp Netflix Premium miễn phí trong 60 ngày.

Các nhà nghiên cứu đã phát hiện ra malware ngụy trang dưới dạng Netflix, ẩn nấp trên cửa hàng Google Play, lây lan qua các tin nhắn WhatsApp.

Theo phân tích của Check Point Research được công bố vào thứ Tư, malware giả mạo là một ứng dụng có tên “FlixOnline”, được quảng cáo qua tin nhắn WhatsApp hứa hẹn “2 tháng Netflix miễn phí ở mọi nơi trên thế giới trong 60 ngày”. Nhưng sau khi được cài đặt, malware có khả năng đánh cắp dữ liệu và thông tin đăng nhập.

 

Malware được thiết kế để xem lén các tin nhắn WhatsApp đến và tự động trả lời bất kỳ tin nhắn nào mà các nạn nhân nhận được, nội dung phản hồi do các hacker tạo ra. Các nhà nghiên cứu cho biết, các phản hồi đã cố gắng thu hút người khác bằng việc cung cấp dịch vụ Netflix miễn phí và chứa các liên kết đến một trang Netflix giả mạo để lấy thông tin xác thực và thông tin thẻ tín dụng.

“Ứng dụng hóa ra là một dịch vụ giả mạo tuyên bố cho phép người dùng xem nội dung Netflix từ khắp nơi trên thế giới trên điện thoại di động của họ,” theo phân tích. “Tuy nhiên, thay vì cho phép người dùng di động xem nội dung Netflix, ứng dụng này thực sự được thiết kế để theo dõi thông báo WhatsApp của người dùng, gửi trả lời tự động cho các tin nhắn đến của người dùng bằng nội dung nhận được từ máy chủ từ xa.”

Ứng dụng giả mạo trong Google Play, có biểu trưng Netflix. Nguồn: Check Point.

Malware cũng có thể tự phát tán, gửi tin nhắn đến các nhóm và địa chỉ liên hệ WhatsApp của người dùng có liên kết đến ứng dụng giả mạo. Cuối cùng, các thông báo tự động có nội dung “2 tháng Netflix Premium Miễn phí miễn phí For REASON OF QUARANTINE (CORONA VIRUS) * Nhận 2 tháng Netflix Premium Miễn phí ở bất kỳ đâu trên thế giới trong 60 ngày. Tải xuống ngay TẠI ĐÂY [Liên kết bitly]. ”

Theo Check Point trong vòng hai tháng khi ứng dụng này xuất hiện trên Google Play, malware đã tấn công thành công 500 nạn nhân. Công ty đã cảnh báo Google về malware, đã gỡ ứng dụng xuống. Tuy nhiên, “gia đình malware có khả năng trú lại ở đây và có thể trở lại ẩn mình trong một ứng dụng khác”, các nhà nghiên cứu cảnh báo.

Aviran Hazum, giám đốc Mobile Intelligence tại Check Point cho biết: “Cách thức của malware khá mới và tinh vi. “Kỹ thuật ở đây là chiếm quyền điều khiển kết nối với WhatsApp bằng cách nắm bắt thông báo, cùng với khả năng thực hiện các hành động được xác định từ trước, như‘ loại bỏ ’hoặc‘ trả lời ’qua Notification Manager . Thực tế là malware có thể được ngụy trang quá dễ dàng và cuối cùng vượt qua các biện pháp bảo vệ của CHPlay đã làm dấy lên một số dấu hiệu nghiêm trọng. ”

FlixOnline chặn thông báo WhatsApp.

Sau khi tải xuống và cài đặt ứng dụng từ CH Play, ứng dụng sẽ yêu cầu ba quyền cụ thể, theo phân tích của Check Point: Overlay, Battery Optimization Ignore and Notification Listener.

Các nhà nghiên cứu lưu ý rằng Overlay cho phép một malware tạo cửa sổ mới trên các ứng dụng khác.

Họ giải thích: “Điều này thường được yêu cầu bởi malware để tạo một màn hình đăng nhập giả cho các ứng dụng khác, với mục đích lấy cắp thông tin đăng nhập của nạn nhân.

Trong khi đó, quyền Ignore Battery Optimizations giúp malware không bị ngừng hoạt động khi mà điện thoại chuyển sang chế độ Idle, như các ứng dụng Android thông thường làm để tiết kiệm pin. Điều này cho phép ứng dụng “FlixOnline” liên tục hoạt động, nghe và gửi tin nhắn giả trong nền ngay cả khi điện thoại ở chế độ ngủ.

Quan trọng nhất, quyền Notification Listener cho malware truy cập tất cả các thông báo liên quan đến tin nhắn được gửi đến thiết bị, với “khả năng tự động thực hiện các hành động được chỉ định như ‘loại bỏ’ và ‘trả lời’ các tin nhắn nhận được trên thiết bị”, theo Check Point.

Sau khi quyền được cấp, malware hại sẽ hiển thị trang đích mà nó nhận được từ command-and-control server (C2)) và nó sẽ xóa biểu tượng của nó khỏi màn hình chính. Từ đó, nó định kỳ gứi thông báo tới C2 để cập nhật cấu hình.

“Dịch vụ có thể đạt được những mục đích này bằng cách sử dụng nhiều phương pháp,” theo phân tích. “Ví dụ: dịch vụ có thể được kích hoạt bằng cách cài đặt ứng dụng và bằng một cảnh báo được đăng ký dưới dạng BOOT_COMPLETED, cái được gọi sau khi thiết bị hoàn tất quá trình boot.”

Khi nói đến phân tích cú pháp các tin nhắn WhatsApp, malware sử dụng một chức năng có tên là OnNotificationPosted để kiểm tra tên gói của ứng dụng tạo ra một thông báo nhất định. Nếu ứng dụng đó là WhatsApp, malware sau đó sẽ “xử lý” thông báo, theo Check Point. Điều đó bao gồm việc hủy thông báo (để ẩn thông báo với người dùng), sau đó đọc tiêu đề và nội dung của thông báo nhận được.

“Tiếp theo, nó tìm kiếm thành phần chịu trách nhiệm inline replies, được sử dụng để gửi trả lời bằng cách sử dụng payload nhận được từ C2 servers,” các nhà nghiên cứu giải thích.

Ứng dụng chứa malware trên Google Play.

Rất tiếc, cửa hàng ứng dụng Android chính thức không còn xa lạ với các ứng dụng độc hại và trojanized. Ví dụ: vào tháng 3, chín ứng dụng độc hại đã được tìm thấy trên Google Play, chứa một malware mở đường cho hacker lấy cắp dữ liệu tài chính từ điện thoại Android từ xa. Và vào tháng 1, Google đã “đuổi cổ” 164 ứng dụng, được tải xuống tổng cộng 10 triệu lần, vì chúng đang phân phối các quảng cáo gây rối.

Trong khi đó vào năm ngoái, malware Joker tiếp tục tấn công các ứng dụng Google Play. Joker, xuất hiện từ năm 2017, là một  mobile Trojan chuyên về một loại gian lận thanh toán được gọi là “fleeceware”. Các ứng dụng của Joker tự quảng cáo là ứng dụng thật (chủ yếu như trò chơi, hình nền, ứng dụng dịch và nhắn tin, trình chỉnh sửa ảnh). Sau khi được cài đặt, chúng mô phỏng các lần nhấp và chặn tin nhắn SMS để đăng ký các nạn nhân vào các dịch vụ trả phí không mong muốn. Các ứng dụng này cũng đánh cắp tin nhắn SMS, danh sách liên hệ và thông tin thiết bị.

Người dùng Android có thể tự bảo vệ mình như thế nào?

Để bảo vệ khỏi loại malware này, người dùng nên cảnh giác với các liên kết tải xuống hoặc tệp đính kèm nhận được qua WhatsApp hoặc các ứng dụng nhắn tin khác, ngay cả khi chúng đến từ các liên hệ hoặc nhóm nhắn tin đáng tin, Check Point lưu ý.

Nếu người dùng phát hiện mình dính phải ứng dụng giả mạo, cần gỡ bỏ ngay ứng dụng bị nghi ngờ khỏi thiết bị, đồng thời tiến hành đổi tất cả mật khẩu.

nguồn: threatpost



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật