恶意程序冒充免费Netflix程序,借WhatsApp自动回复功能传播

想要免费看Netflix的用户需留心,安全厂商发现一只冒充Netflix免费软件的恶意程序,安装后可窃取WhatsApp通信内容、用户密码,还会利用WhatsApp自动回复功能扩大传播范围。

Check Point研究团队近日发现Google Play Store上一只名为FlixOnline的App,它假冒可让用户在手机上收看全世界的Netflix内容。但是一旦用户下载后,它会启动一项服务,要求Android手机三项权限,包括覆盖程序代码(overlay)、忽略电池优化及通知许可。覆盖程序代码可让恶意程序在其他App上方创建窗口,通常是假的登录对话框,以利用户登录时窃取帐密。忽略电池优化则防止恶意程序在低电量或闲置时关闭,使它能持续运行。

图片来源/Check Point

最厉害的许可是访问通知内容,通常是利用通知听取(notification listener)服务。一旦允许,该恶意软件就能访问发送到手机的通知,还能自动执行某些行为,像是忽略或回复。如果用户准许了恶意程序的请求,则它可以任意自由传播其恶意酬载,像是自动回复亲友传来的WhatsApp消息。

研究人员也观察到这只程序送出的自动回复消息。消息是恶意程序从外部C&C服务器下载的内容,包括一则谎称免费提供2个月的Netflix收看服务,消息中并有一则连接。

研究人员指出,利用这些手法,攻击者可能的行为包括从WhatsApp账号窃取资料、利用恶意连接复制和传播给其他用户,以及将假消息、钓渔网站连接发送给用户WhatsApp的联系人及群组(如工作群组)。

在CheckPoint通知后,Google已经将FlixOnline从Play Store移除。而在上架的2个月内,这款App已经被下载近500次。

安全厂商提醒用户应小心来自WhatsApp或其他通信App接到的连接或附件,即使对方是信任的联系人或群组。

发表评论