HW期间,为防范钓鱼,即日起FreeBuf将取消投稿文章的一切外部链接。给您带来的不便,敬请谅解~
4月7日,Check Point发布分析,一个名为FlixOnline的恶意软件通过WhatsApp进行传播,虚假宣传中恶意软件承诺“在世界上任何地方都可以免费使用两个月的Netflix Premium”,该恶意软件会窃取数据和凭据。
该恶意软件监听传入的WhatsApp消息,攻击者精心设计了对受害者收到任何消息的自动响应内容,自动响应内容会以提供免费的Netflix服务来引诱其他人,其中包含指向伪造的Netflix网站的链接,该网站会窃取用户的凭据和信用卡信息。
应用程序其实并不监视用户的WhatsApp消息,也不会真的让用户可以访问Netflix,而是使用从远程服务器接收的内容向用户的传入消息发送自动答复。
FlixOnline恶意软件还可以将消息发送到用户的WhatsApp联系人和群组进行传播,“因为新冠疫情的大流行,免费提供2个月的Netflix Premium,快点得到它吧”!
该应用程序在Google Play上架了两个月,有超过五百名受害者。在向Google通报了该恶意软件后,已经将其删除,但是研究人员警告说,该恶意软件可能还会隐藏在其他应用程序中。
Check Point的Aviran Hazum表示,该恶意软件的技术是令人眼前一亮的,通过捕获通知来劫持WhatsApp的消息,通过通知管理器执行预定义的操作,例如忽略(dismiss)/回复(reply)。因此该恶意软件绕过了Google Play的检测,这实际上也是一个危险的信号。
拦截通知
从Google Play上下载并安装了应用程序后,会请求Overlay(窗口覆盖)、Battery Optimization Ignore(电池优化忽略)与Notification Listener(通知监听)三项权限。
窗口覆盖权限使恶意软件可以在其他应用程序上创建新窗口,恶意软件通常都会这样做,以便创建虚假的登录页面,窃取受害者的凭据。
电池优化忽略权限可以阻止手机在省电时关闭消息通知,即使手机处于休眠状态恶意软件也会在后台持续运行
通知监听权限使恶意软件可以访问任何发送到设备的消息通知,并自动执行对应的动作
得到权限后,恶意软件会显示从C&C服务器收到的登录页面,并将应用程序从主屏幕上删除,而且定期与C&C服务器进行配置更新。
恶意软件通过注册BOOT_COMPLETED服务,在设备启动后启动该服务完成持久化。恶意软件使用名为OnNotificationPosted的功能检查WhatsApp的通知,其通知消息会被隐藏,用户不可见。接着,恶意软件会使用从C&C服务器接收到的内容进行响应。
Google Play
尽管Google Play是官方的应用商店,但其中并不乏有恶意程序。例如,三月份在Google Play上发现了九个恶意应用程序。一月份,Google从Google Play上删除了164个恶意应用程序,这些程序总计被下载了超过1000万次。
去年,Joker持续困扰着Google Play。Joker木马自从2017年被发现后持续进行计费欺诈,安装该恶意软件后会模拟点击并拦截短信,使受害者订阅不需要的、付费的高级服务。与此同时,应用程序还会窃取短信、联系人列表和设备信息。
用户应该警惕通过WhatsApp或其他通讯软件收到的下载链接或附件,即使他们来自受信任的联系人或群组。如果已经中招要立刻删除恶意软件,并修改自己的所有密码。
来源:freebuf.com 2021-04-12 01:10:26 by: Avenger
请登录后发表评论
注册