FlixOnline: la app falsa de Netflix que roba tu WhatsApp y datos en Android

  • FlixOnline es una app maliciosa que se hacía pasar por Netflix en Google Play y se propagaba mediante mensajes automáticos enviados por WhatsApp.
  • El malware obtenía permisos de superposición, batería y notificaciones para leer mensajes, responder en tu nombre y robar credenciales sensibles.
  • Aunque Google retiró la app, sigue siendo imprescindible eliminarla si está instalada, cambiar contraseñas y pasar un antivirus en el dispositivo.
  • Desconfiar de ofertas de Netflix gratis, revisar permisos y verificar desarrolladores oficiales son claves para evitar nuevas amenazas similares.
Christian RuízActualizado el

3 minutos

FlixOnline virus app Netflix Android

Por desgracia, no todo lo que hay en Android es seguro. Por mucho que Google lo intente y ponga medidas, no es posible controlar todos los virus que navegan por Internet y a los entes que difunden estos softwares maliciosos, cada vez mejores camuflados. El último caso en relucir es el de la app de FlixOnline y su malware en móviles, un ejemplo claro de cómo una aplicación que aparenta ser legítima puede terminar tomando el control de tu WhatsApp y tus datos personales.

A medida que el panorama de los ciberataques a dispositivos móviles evoluciona, los ciberdelincuentes buscan siempre desarrollar nuevas técnicas para transformar y distribuir con éxito programas maliciosos. Esta vez no lo ha detectado el malware Google Play ni nada relacionado con la empresa de Mountain View de forma inmediata. El encargado en esta ocasión ha sido Check Point Research, un proveedor especializado en ciberseguridad a nivel mundial, que ha rastreado este virus malicioso y se ha centrado en publicarlo lo antes posible para reducir el impacto y evitar que siga propagándose.

Los expertos de Check Point Research han observado un aumento constante del número de ataques dirigidos a dispositivos móviles y de nuevos métodos de ataque. FlixOnline es un caso especialmente llamativo porque logró colarse en Google Play, la tienda oficial de Android, y desde ahí utilizó WhatsApp como gancho para llegar a más víctimas, demostrando que ni siquiera los mercados oficiales son infalibles.

En qué consiste este virus en la app de FlixOnline

FlixOnline app falsa Netflix Android

Es una nueva amenaza maliciosa en Google Play Store que se propagaba a través de los mensajes de WhatsApp. El malware estaba diseñado con capacidad para responder automáticamente a los mensajes entrantes con textos provenientes de un servidor remoto en nombre de sus víctimas. Es decir, se hacía pasar por el propio usuario, enviando mensajes con enlaces maliciosos a sus contactos y grupos.

Curiosamente, el software malicioso se encontró escondido en una aplicación falsa de Netflix en la Play Store llamada FlixOnline, que prometía «entretenimiento ilimitado» desde cualquier parte del mundo e incluso meses gratis de Netflix Premium. Este tipo de reclamo, muy atractivo en épocas en las que el consumo de plataformas de streaming se dispara, hizo que más de un usuario se fiara y pulsara en descargar.

En muchos casos, FlixOnline enviaba a los contactos de la víctima un mensaje automático del tipo:

“2 Months of Netflix Premium Free at no cost For REASON OF QUARANTINE (CORONA VIRUS) * Get 2 Months of Netflix Premium Free anywhere in the world for 60 days. Get it now HERE https://bit[.]ly/xxxxx.”

El mensaje, redactado en inglés y con la promesa de dos meses de servicio gratuito, incluía un enlace acortado que era el verdadero peligro, ya que redirigía a recursos controlados por los atacantes. Este tipo de texto publicitario es típico de las campañas de phishing: utilizan ganchos muy llamativos, juegan con el contexto (cuarentena, tiempo libre, entretenimiento) y recurren a enlaces aparentemente inofensivos para que los usuarios no sospechen.

Al responder a los mensajes entrantes de WhatsApp con una payload o carga útil de un servidor de comando y control, este método permite a los ciberdelincuentes:

  • Distribuir ataques de phishing a gran escala.
  • Propagar más malware mediante enlaces maliciosos.
  • Difundir mensajes falsos o maliciosos a los contactos y grupos de WhatsApp del usuario.
  • Robar credenciales y datos bancarios o de otros servicios.
  • Acceder al contenido de las conversaciones privadas.

Según los datos compartidos públicamente, FlixOnline se descargó aproximadamente unas 500 veces mientras estuvo disponible en Google Play. Aunque la cifra pueda parecer baja frente a otras aplicaciones masivas, la capacidad de autopropagación vía WhatsApp y el tipo de permisos que solicitaba la convertían en una amenaza muy seria.

captura flixonline app

Este tipo de infecciones sirven para propagar malware adicional y difundir información falsa o robar credenciales y datos bancarios, así como tener acceso a las conversaciones de los usuarios. También pueden difundir mensajes falsos o maliciosos a los contactos y grupos de WhatsApp de los usuarios (por ejemplo, grupos relacionados con el trabajo). Todo eso tan solo con un clic en un enlace o con la instalación de una aparente app de entretenimiento.

Cómo funciona el malware del «Netflix» falso

Funcionamiento malware FlixOnline

Cuando la aplicación se descarga de la Play Store y se instala, esta solicita una serie de permisos especialmente sensibles: ‘Superposición’, ‘Ignorar Optimización de la Batería’ y ‘Notificación’. Detrás de esa petición aparentemente técnica hay una estrategia muy clara para tomar el control del dispositivo y de WhatsApp sin que el usuario lo perciba fácilmente.

De acuerdo con Check Point Research, el propósito detrás de la obtención de dichos permisos es el siguiente:

  1. Permiso de superposición (o “dibujar sobre otras apps): permite a una aplicación maliciosa crear nuevas ventanas encima de otras aplicaciones. Suele solicitarlo el software malicioso para crear una pantalla de «Inicio de sesión» falsa para otras apps (banca, redes sociales, correo, Netflix real, etc.), con el objetivo de robar las credenciales de la víctima cuando introduce usuario y contraseña.
  2. Ignorar las optimizaciones de batería: con esta función, el malware evita que el sistema lo cierre automáticamente. Es decir, no se apaga aunque esté inactivo durante largos periodos. Gracias a ello, puede seguir monitorizando notificaciones, conexiones y actividad en segundo plano sin despertar sospechas.
  3. Acceso a las notificaciones, concretamente al servicio Notification Listener: una vez habilitado, este permiso proporciona al malware acceso a todas las notificaciones relacionadas con los mensajes enviados al dispositivo, y la capacidad de realizar automáticamente acciones designadas como «descartar» y «responder» a los mismos. Este es el permiso clave que permite a FlixOnline leer y contestar mensajes de WhatsApp en nombre del usuario.

Con esa combinación de permisos, FlixOnline tiene todo lo necesario para actuar como un gusano especializado en WhatsApp: puede leer los mensajes que entran, copiar parte de su contenido, borrar las notificaciones para que el usuario no vea nada extraño y enviar automáticamente nuevos mensajes con enlaces maliciosos a todos los contactos o grupos.

Si se conceden estos permisos, el malware tiene todo lo que necesita para empezar a distribuir sus payloads maliciosos y emitir respuestas autogeneradas a los mensajes entrantes de WhatsApp, a través de las que es posible robar datos personales, causar interrupciones en grupos de chat, secuestrar conversaciones e incluso extorsionar enviando datos sensibles a cualquier contacto de la agenda si la víctima no accede a las demandas de los atacantes.

Este comportamiento convierte a FlixOnline en algo más que una simple app fraudulenta: se trata de una familia de malware sofisticada que demuestra hasta qué punto es peligroso conceder permisos de notificación y superposición sin revisarlos con detalle.

Hay que decir que la app ya no se encuentra disponible en Google Play, lo cual es un alivio para nuevas descargas. Sin embargo, si ya se instaló en algún dispositivo, el hecho de que se haya eliminado de la tienda no impide que siga funcionando allí donde está presente. Por eso es fundamental detectar si la tenemos instalada, desinstalarla y tomar medidas adicionales de seguridad (como cambio de contraseñas y análisis antivirus).

Un gusano que se multiplica por WhatsApp

Lo que han descubierto desde la firma de seguridad Check Point es que la aplicación FlixOnline contiene un malware en su interior que, al instalarse en nuestro dispositivo, solicita todo tipo de permisos para empezar a operar de forma masiva y sin control, llegando a secuestrar nuestro propio WhatsApp. ¿Para qué? Principalmente para aprovechar la confianza que los usuarios tienen en sus contactos y propagar más enlaces maliciosos de manera automatizada.

En lugar de limitarse a infectar un único dispositivo, este tipo de gusano utiliza los chats y grupos de WhatsApp como canal de distribución. De este modo, el virus no es tanto un archivo tradicional como una cadena de mensajes fraudulentos que va saltando de cuenta en cuenta. La app puede enviar mensajes a:

  • Conversaciones individuales con amigos o familiares.
  • Grupos de trabajo, donde el daño reputacional y profesional puede ser mayor.
  • Grupos numerosos de comunidades, asociaciones, clases o equipos.

Al margen de ese intento de distribuirse rápidamente, el gusano que contiene FlixOnline tiene un objetivo claro de robo de datos. Gracias a los permisos obtenidos y a las posibles pantallas de inicio de sesión falsas, el malware busca conseguir credenciales de la víctima con el objetivo de acometer futuros ataques de phishing dirigido o incluso de fraude financiero. Una vez que los atacantes cuentan con nombres de usuario, contraseñas o datos de verificación, pueden intentar:

  • Acceder a servicios bancarios online para ordenar movimientos o transferencias.
  • Solicitar préstamos o productos financieros suplantando la identidad de la víctima.
  • Entrar en cuentas de correo electrónico y redes sociales para comprometer aún más su privacidad.
  • Extorsionar al usuario amenazando con publicar información sensible.

Así que, si en algún momento recibes una invitación de un amigo para bajar esta aplicación con la excusa de obtener Netflix gratis, no lo hagas, aunque el mensaje parezca totalmente verídico. Hay que recordar que Google ya retiró FlixOnline de su tienda oficial, pero el enlace puede seguir circulando, y en algunos casos podría dirigir a repositorios externos o copias renombradas del mismo malware.

Según las estimaciones de la propia firma de seguridad, la campaña de FlixOnline habría afectado aproximadamente a medio millar de dispositivos Android en el periodo en el que la app estuvo activa en la Play Store. Más allá de la cifra concreta, lo preocupante para los expertos es que el malware logró disfrazarse muy bien y eludir las protecciones de la tienda oficial, lo que enciende todas las alarmas sobre la necesidad de reforzar los controles.

Por qué logró colarse en Google Play y qué riesgos plantea

Muchas veces los expertos se desgañitan recordándonos que una de las medidas de seguridad que debemos adoptar para mantener nuestros móviles a salvo de malware es descargar aplicaciones solo desde las tiendas oficiales de Apple y Google. Y aunque este es un consejo básico y muy recomendable, casos como el de FlixOnline demuestran que no basta con confiar ciegamente en la tienda oficial.

En el ecosistema Android, el volumen de nuevas apps que se suben cada día a la Play Store es enorme. Esto obliga a Google a combinar sistemas automáticos de análisis con revisiones manuales puntuales. Si un desarrollador malicioso diseña una app que parece legítima, usa un icono convincente, una descripción aparentemente legal y esconde el comportamiento malicioso en capas profundas del código o mediante activaciones diferidas, es posible que pase los filtros iniciales.

Eso es exactamente lo que ha ocurrido en esta ocasión, en la que una aplicación ha aparecido en la Play Store con un virus en su interior y que se ha venido replicando, aunque de forma limitada, por culpa del señuelo que utiliza para engañarnos: la posibilidad de ver Netflix completamente gratis durante uno, dos o más meses. El hecho de suplantar a una marca tan conocida genera un falso sentimiento de confianza en el usuario, que baja la guardia y acepta permisos sin pensarlo demasiado.

Los expertos de Check Point y de otros organismos de ciberseguridad coinciden en que este caso marca una tendencia peligrosa:

  • El malware es capaz de secuestrar apps de mensajería como WhatsApp mediante el uso creativo de los permisos de notificación.
  • La app se camufla bajo servicios populares de entretenimiento, algo que ya se ha visto en otras campañas de malware con servicios de streaming, juegos o herramientas de productividad.
  • El código malicioso puede reutilizarse en nuevas aplicaciones con otros nombres, lo que significa que la familia de malware puede volver a aparecer disfrazada en otras apps aparentemente inofensivas.

Por eso, aunque Google haya eliminado esta aplicación concreta, los expertos apuntan a que es muy probable que veamos variantes similares en el futuro, reutilizando las mismas técnicas para robar datos y expandirse por WhatsApp u otras plataformas de mensajería.

Impacto real y reacciones de empresas y autoridades

Check Point Research notificó a Google la existencia de la aplicación maliciosa y compartió los detalles de su investigación, por lo que la aplicación se eliminó rápidamente de la Play Store. En el transcurso de un breve periodo de tiempo, FlixOnline se descargó aproximadamente 500 veces, cifras que pueden parecer modestas pero que son suficientes para poner en peligro datos personales y profesionales de cientos de usuarios y de sus contactos.

Ante este descubrimiento, portavoces técnicos de Check Point subrayaron que se trata de una técnica de malware nueva e innovadora, que consiste en secuestrar la conexión a WhatsApp capturando las notificaciones, junto con la posibilidad de realizar acciones predefinidas como «descartar» o «responder» a través del gestor de notificaciones. El hecho de que el software malicioso haya podido camuflarse con tanta facilidad y, en última instancia, eludir las protecciones de la Play Store, dispara serias alarmas.

No solo las empresas privadas han reaccionado. Cuerpos policiales y organismos oficiales de varios países han emitido avisos para advertir a los ciudadanos sobre FlixOnline y sobre otras aplicaciones que se hacen pasar por Netflix o por plataformas de contenido audiovisual. En algunos casos, la Policía ha utilizado sus perfiles en redes sociales para alertar específicamente de que el objetivo de estas apps es conseguir acceso ilícito al WhatsApp del usuario.

En paralelo, oficinas de seguridad del internauta y agencias nacionales de ciberseguridad recomiendan, ante cualquier sospecha de infección o instalación de apps maliciosas similares:

  • Eliminar la aplicación de inmediato del dispositivo.
  • Actualizar las contraseñas de las cuentas más sensibles (correo, banca, redes sociales, servicios de streaming).
  • Pasar un antivirus o solución de seguridad móvil actualizado para detectar posibles restos de malware.
  • Consultar con líneas de ayuda en ciberseguridad en caso de duda o si se observan comportamientos anómalos.

Este conjunto de reacciones muestra que FlixOnline no es un caso aislado sin importancia, sino un precedente relevante que ha llevado a reforzar la vigilancia sobre las apps que prometen contenidos de pago de forma gratuita, especialmente cuando se integran con herramientas de mensajería tan extendidas como WhatsApp.

Cómo reconocer apps falsas que se hacen pasar por Netflix u otros servicios

FlixOnline no es la única app que se ha hecho pasar por Netflix para difundir malware, pero sí es uno de los ejemplos más ilustrativos de cómo puede funcionar esta suplantación. Para reducir las probabilidades de caer en trampas similares, resulta muy útil conocer algunas señales de alerta que suelen repetirse en este tipo de fraudes:

  • Promesas demasiado buenas: meses de suscripción Premium gratis, acceso ilimitado a contenidos de pago sin coste, funciones exclusivas no disponibles en la app oficial, etc. Las promociones legítimas suelen tener canales oficiales muy claros y no requieren instalar apps de orígenes dudosos.
  • Desarrollador desconocido: la app oficial de una gran plataforma (como Netflix) se publica siempre desde la cuenta verificada de la propia empresa, no desde nombres extraños ni desarrolladores sin historial.
  • Pocas descargas y pocas reseñas: cuando se trata de servicios muy populares, las apps auténticas acumulan millones de descargas y miles de opiniones. Una supuesta app «oficial» con apenas unas decenas o centenares de descargas es sospechosa.
  • Permisos excesivos: una app para ver contenidos de vídeo no debería necesitar acceso a tus notificaciones de WhatsApp, a la superposición sobre otras apps o a funciones que no estén claramente relacionadas con la reproducción de vídeo.
  • Ortografía o traducciones pobres en la descripción, en los menús o en los mensajes que envía la app. Aunque no es una prueba definitiva, suele ser una pista de que no se trata de un producto oficial.

En el caso concreto de FlixOnline, se dan prácticamente todas estas señales: promesa de Netflix Premium gratis, desarrollador desconocido, número limitado de descargas, permisos muy invasivos y textos promocionales con cierto aspecto fraudulento. Aprender a detectar estos patrones puede marcar la diferencia entre un dispositivo seguro y un teléfono comprometido.

Buenas prácticas para proteger tu Android de casos como FlixOnline

Más allá de este caso concreto, FlixOnline sirve como recordatorio de que la seguridad en Android es una responsabilidad compartida entre Google, los desarrolladores y, por supuesto, los usuarios. Algunas recomendaciones básicas pueden minimizar de forma drástica las posibilidades de infección:

  • Descargar siempre desde mercados oficiales como Google Play es una primera capa de protección, pero no la única. Aun dentro de la tienda, conviene revisar con calma la ficha de la app.
  • Comprobar el nombre del desarrollador y su historial. Si es una gran compañía, debería estar claramente identificada, con otras apps conocidas publicadas y con valoraciones numerosas.
  • Leer reseñas recientes de otros usuarios. Muchas veces quienes han sido víctimas de comportamientos extraños lo cuentan en las opiniones, y eso puede servir de aviso temprano.
  • Revisar los permisos solicitados durante la instalación. Si una app de streaming o de utilidad simple pide acceso a notificaciones, SMS, contactos o superposición de pantalla, es motivo para desconfiar.
  • Desconfiar de enlaces recibidos por WhatsApp u otras apps de mensajería, incluso cuando proceden de contactos de confianza. Los mensajes automáticos generados por malware como FlixOnline pueden hacerse pasar por el propio usuario sin que este lo sepa.
  • Mantener el dispositivo y las apps actualizadas, ya que muchas actualizaciones corrigen vulnerabilidades de seguridad.
  • Instalar una solución de seguridad móvil fiable, capaz de detectar comportamientos sospechosos y bloquear apps maliciosas incluso si han pasado el filtro de Google Play.

Aplicar de forma constante estas pautas reduce notablemente el impacto potencial de campañas como la de FlixOnline, aunque ninguna medida es infalible al cien por cien. La vigilancia activa del usuario sigue siendo uno de los pilares fundamentales de la ciberseguridad en móviles.

El caso de FlixOnline muestra hasta qué punto una falsa promesa de entretenimiento gratuito puede convertirse en la puerta de entrada a un malware capaz de leer tus notificaciones, responder en tu nombre y tratar de robar tus credenciales. Conocer cómo funciona, qué permisos utiliza y qué señales de alerta presenta ayuda a estar mucho mejor preparados para futuras amenazas similares, que con toda probabilidad seguirán intentando aprovechar el tirón de servicios tan populares como Netflix y la enorme difusión de WhatsApp.