Новое вредоносное ПО для Android использует WhatsApp для распространения

Новая форма вредоносного ПО для Android начала распространяться, создавая автоответчики в WhatsApp. Check Point Research недавно обнаружила вредоносное ПО в поддельном приложении в Google Play.


Теперь любые пользователи, загрузившие вредоносное приложение и предоставившие необходимые разрешения, могут использовать сообщения автоответчика в WhatsApp, чтобы отправлять пользователям вредоносную полезную нагрузку через сервер управления и контроля (C&C). Эта эклектичная стратегия может помочь злоумышленникам проводить фишинговые атаки, красть учетные данные и данные WhatsApp, а также распространять ложную информацию среди других незаконных действий.

Поддельное приложение в Google Play называлось «FlixOnline», ложный сервис, утверждающий, что позволяет пользователям использовать потоковый сервис Netflix из любой точки мира. Однако вместо того, чтобы предоставлять доступ к Netflix, приложение фактически взаимодействует с учетной записью пользователя WhatsApp для отправки этих фальшивых автоответов. Фактически, злоумышленники могут даже вымогать у пользователей, угрожая продать их личные разговоры и данные в WhatsApp всем контактам пользователей.

Как только пользователь загружает и устанавливает приложение из Play Store, вредоносная программа запускает службу, которая запрашивает разрешения «Overlay», «Battery Optimization Ignore» и «Notification». Такие разрешения, как Overlay, позволяют злоумышленникам открывать новые окна поверх существующих приложений с целью создания поддельных порталов входа в систему для кражи учетных данных пользователя. Batter Optimization Ignore позволяет злоумышленнику продолжать работу вредоносного ПО даже после того, как телефон переходит в режим ожидания, чтобы сэкономить заряд батареи. Наконец, разрешение на уведомление позволяет злоумышленникам просматривать все уведомления о сообщениях, отправленных на устройство пользователя, включая возможность отклонять эти сообщения или отвечать на них.

После получения таких разрешений вредоносная программа скрывает свой значок, поэтому программное обеспечение не может быть легко удалено. Приложение маскируется с помощью обновлений с C&C сервера, которые регулярно изменяют конфигурацию вредоносного ПО. Возможно, это изменение конфигурации связано с тем, что C&C сервер выполняет обновление приложения после того, как устройство запускает вредоносную программу. В частности, сервер использует обратный вызов OnNotificationPosted для автоматического обновления вредоносного ПО.

Фактически, как только вредоносная программа обнаруживает уведомление о новом сообщении, вредоносное приложение скрывает уведомление от пользователя, поэтому только вредоносная программа может просмотреть сообщение. Затем вредоносная программа инициирует обратный вызов, чтобы отправить пользователю фальшивый автоответ.

С тех пор, как Check Point Research проинформировала Google об этом вредоносном приложении, Google удалил это вредоносное приложение из Play Store. До удаления это приложение было загружено примерно 500 раз.