Por desgracia, no todo lo que hay en Android es seguro. Por mucho que Google lo intente y ponga medidas, no es posible controlar todos los virus que navegan por internet y a los entes que difunden estos softwares maliciosos, cada vez mejores camuflados. El último caso en relucir es el de la app de FlixOnline y su malware en móviles.
A medida que el panorama de los ciberataques a los dispositivos móviles evoluciona, los ciberdelincuentes buscan siempre desarrollar nuevas técnicas para transformar y distribuir con éxito programas maliciosos. Esta vez no ha detectado el malware Google Play ni nada relacionado con la empresa de Mountain View. El encargado en esta ocasión ha sido Investigadores de Check Point Research, un proveedor especializado en ciberseguridad a nivel mundial, que ha rastreado este virus malicioso y se ha centrado en publicarlo lo antes posible para reducir el impacto.
En qué consiste este virus en la app de FlixOnline
Es una nueva amenaza maliciosa en Google Play Store que se propagaba a través de los mensajes de WhatsApp. El malware estaba diseñado con capacidad para responder automáticamente a los mensajes entrantes con mensajes provenientes de un servidor remoto en nombre de sus víctimas. Curiosamente, el software malicioso se encontró escondido en una aplicación falsa de «Netflix» en la Play Store llamada FlixOnline, que prometía «entretenimiento ilimitado» desde cualquier parte del mundo.
Al responder a los mensajes entrantes de WhatsApp con una payload o carga útil de un servidor de comando y control, este método podría permitir a los ciberdelincuentes distribuir ataques de phishing, uno de los métodos de estafa cibernéticos más peligrosos y usado en la actualidad.
Sirven para propagar malware adicional y difundir información falsa o robar credenciales y datos bancarios, así como tener acceso a las conversaciones de los usuarios. También pueden difundir mensajes falsos o maliciosos a los contactos y grupos de WhatsApp de los usuarios (por ejemplo, grupos relacionados con el trabajo). Todo eso tan solo con un click.
Cómo funciona el malware del »Netflix» falso
Cuando la aplicación se descarga de la Play Store y se instala, esta solicita permisos de ‘Superposición’, para ‘Ignorar Optimización de la Batería’ y ‘Notificación’. El propósito detrás de la obtención de dichos permisos es:
- La superposición permite a una aplicación maliciosa crear nuevas ventanas encima de otras aplicaciones. Suele solicitarlo el software malicioso para crear una pantalla de «Inicio de sesión» falsa para otras aplicaciones, con el objetivo de robar las credenciales de la víctima.
- Ignorar las optimizaciones de la batería evita que el malware se apague por la propia rutina de la misma, incluso después de estar inactivo durante un período prolongado.
- El permiso más destacado es el acceso a las notificaciones, más concretamente, al servicio Notification Listener. Una vez habilitado, este permiso proporciona al malware acceso a todas las notificaciones relacionadas con los mensajes enviados al dispositivo, y la capacidad de realizar automáticamente acciones designadas como «descartar» y «responder» a los mismos.
Si se conceden estos permisos, el malware tiene todo lo que necesita para empezar a distribuir sus payloads maliciosos y emitir respuestas autogeneradas a los mensajes entrantes de WhatsApp, a través de las que es posible robar datos, causar interrupciones en grupos de chat e incluso extorsionar enviando datos sensibles a cualquier contacto de la agenda. Hay que decir que la app ya no se encuentra disponible en Google Play, lo cuál es un alivio para nuevas descargas.