Se ha descubierto un nuevo malware de Android que existía como una aplicación en Google Play y se afirma que se propaga a través de las conversaciones de WhatsApp. Llamada FlixOnline, la aplicación pretendía permitir a los usuarios ver contenido global de Netflix. Sin embargo, fue diseñado para monitorear las notificaciones de WhatsApp del usuario y enviar respuestas automáticas a sus mensajes entrantes con el contenido que recibe del pirata informático. Google retiró la aplicación inmediatamente de Play Store después de que se contactó con la compañía. Sin embargo, se descargó cientos de veces antes de eliminarlo.
Los investigadores de la firma de inteligencia de amenazas Check Point Research descubrieron la aplicación FlixOnline en Google Play . Cuando la aplicación se descarga de Play Store y se instala, el malware subyacente inicia un servicio que solicita permisos de “Superposición”, “Ignorar optimización de batería” y “Notificación”, dijeron los investigadores en una nota de prensa.
Se cree que el propósito de obtener esos permisos permite que la aplicación maliciosa cree nuevas ventanas sobre otras aplicaciones, evite que el malware se cierre mediante la rutina de optimización de la batería del dispositivo y obtenga acceso a todas las notificaciones.
En lugar de habilitar cualquier servicio legítimo, la aplicación FlixOnline monitorea las notificaciones de WhatsApp del usuario y envía un mensaje de respuesta automática a todas las conversaciones de WhatsApp que atrae a las víctimas con acceso gratuito a Netflix . El mensaje también contiene un enlace que podría permitir a los piratas informáticos obtener información del usuario.
El malware “desparasitante”, que significa que puede propagarse por sí mismo, podría extenderse más a través de enlaces maliciosos e incluso extorsionar a los usuarios amenazando con enviar datos confidenciales de WhatsApp o conversaciones a todos sus contactos.
Check Point Research notificó a Google sobre la existencia de la aplicación FlixOnline y los detalles de su investigación. Google eliminó rápidamente la aplicación de Play Store al recibir los detalles. Sin embargo, los investigadores encontraron que la aplicación se descargó casi 500 veces en el transcurso de dos meses, antes de que se desconectara.
Los investigadores también creen que si bien la aplicación en particular en cuestión se eliminó de Google Play después de que se informó, el malware podría regresar a través de otra aplicación similar en el futuro.
“El hecho de que el malware se haya podido disfrazar tan fácilmente y, en última instancia, eludir las protecciones de Play Store genera algunas señales de alerta. Aunque detuvimos una campaña del malware, es probable que la familia del malware esté aquí para quedarse. El malware puede regresar oculto en una aplicación diferente ”, dijo Aviran Hazum, Gerente de Inteligencia Móvil en Check Point, en una cotización preparada.
Se recomienda a los usuarios afectados que eliminen la aplicación maliciosa de su dispositivo y cambien sus contraseñas.
Es importante tener en cuenta que, si bien la variante de malware disponible a través de la aplicación FlixOnline fue diseñada para propagarse a través de WhatsApp, la aplicación de mensajería instantánea no incluye ninguna laguna en particular que permitiera la circulación de contenido malicioso. En cambio, los investigadores descubrieron que era Google Play el que no podía restringir el acceso a la aplicación a primera vista, a pesar de usar una combinación de herramientas automatizadas y protecciones precargadas, incluido Play Protect .