FlixOnline: el Netflix pirata que secuestra tu WhatsApp
|- Ten mucho cuidado con los archivos y aplicaciones que descargas.
Actualmente hay una amplia oferta de entretenimiento a través de plataformas de streaming. Netflix sigue siendo la más popular, pero hay usuarios que no quieren pagar por el contenido y buscan opciones piratas sin reparar en que se están arriesgando a descargar malware. Precisamente eso es lo que está sucediendo con FlixOnline una app que suele propagarse a través de WhatsApp y roba la información de los usuarios.
Una investigación realizada por Check Point Research, la División de Inteligencia de Amenazas de Check Point Software Technologies, descubrió una nuevo malware en la Google Play Store que se propaga a través de los mensajes de WhatsApp y que se encuentra escondida en una aplicación falsa de «Netflix» llamada FlixOnline, que promete «entretenimiento ilimitado» desde cualquier parte del mundo.
Lo que el malware permitía a los ciberdelincuentes era responder automáticamente a los mensajes entrantes de WhatsApp. Es decir, cuando el usuario infectado recibía un mensaje, se enviaba una respuesta con un payload, lo que quiere decir con la carga útil de un servidor de comando y control de manera que los delincuentes informáticos podían distribuir ataques de phishing, propagar malware adicional difundir información falsa o robar credenciales y datos bancarios, así como tener acceso a las conversaciones de los usuarios.
Los investigadores explican que en la tienda de apps Google Play, FlixOnline se vende como un servicio falso que promete permitir a los usuarios ver contenidos de Netflix de todo el mundo desde sus teléfonos móviles sin tener que pagar una suscripción. Sin embargo, en realidad la aplicación está diseñada para monitorear las notificaciones de WhatsApp del propietario y enviar respuestas automáticas a los mensajes entrantes del mismo por medio de un servidor remoto.
Dicho malware enviaba la siguiente respuesta a sus víctimas, atrayéndolas con la oferta de un servicio gratuito de Netflix:
«2 Meses de Netflix Premium Gratis Por Motivo de Cuarentena (CORONA VIRUS) * Consigue 2 Meses de Netflix Premium gratis en cualquier parte del mundo durante 60 días. Consíguelo ahora AQUÍ».
Mediante esta técnica, un ciberdelincuente podía llevar a cabo una amplia gama de actividades maliciosas:
Propagar malware adicional a través de enlaces infectados
Robar datos de las cuentas de WhatsApp de los usuarios
Difundir mensajes falsos o maliciosos a los contactos y grupos de WhatsApp de los usuarios (por ejemplo, grupos relacionados con el trabajo)
¿Cómo funciona el malware?
Cuando la aplicación se descarga de la Play Store y se instala, esta solicita permisos de ‘Superposición’, para ‘Ignorar Optimización de la Batería’ y ‘Notificación’. El propósito detrás de la obtención de dichos permisos es:
1. La superposición permite a una aplicación maliciosa crear nuevas ventanas encima de otras aplicaciones. Suele solicitarlo el software malicioso para crear una pantalla de «Inicio de sesión» falsa para otras aplicaciones, con el objetivo de robar las credenciales de la víctima.
2. Ignorar las optimizaciones de la batería evita que el malware se apague por la propia rutina de la misma, incluso después de estar inactivo durante un período prolongado.
3. El permiso más destacado es el acceso a las notificaciones, más concretamente, al servicio Notification Listener. Una vez habilitado, este permiso proporciona al malware acceso a todas las notificaciones relacionadas con los mensajes enviados al dispositivo, y la capacidad de realizar automáticamente acciones designadas como «descartar» y «responder» a los mismos.
Si se conceden estos permisos, el malware tiene todo lo que necesita para empezar a distribuir sus payloads maliciosos y emitir respuestas autogeneradas a los mensajes entrantes de WhatsApp, a través de las que es posible robar datos, causar interrupciones en grupos de chat e incluso extorsionar enviando datos sensibles a todos los contactos del usuario.
«Se trata de una técnica de malware bastante nueva e innovadora que consiste en secuestrar la conexión a WhatsApp capturando las notificaciones, junto con la posibilidad de realizar acciones predefinidas, como descartar o responder a través del gestor de notificaciones. El hecho de que el software malicioso haya podido camuflarse con tanta facilidad y, en última instancia, eludir las protecciones de Play Store, dispara serias alarmas. Aunque hemos podido detener una campaña, es probable que esta familia de malware haya llegado para quedarse y puede volver a esconderse en una aplicación diferente”, destaca Eusebio Nieva, director técnico de Check Point para España y Portugal.
Consejos de seguridad
A pesar de que CPR ha notificado a Google de la existencia de la aplicación maliciosa y ha compartido los detalles de su investigación, por lo que la aplicación se ha eliminado ya de la Play Store, es necesario aprender a estar seguros en línea siguiendo estos consejos:
1. Descargar aplicaciones solo de las tiendas oficiales
2. Mantener el dispositivo y las aplicaciones actualizadas
3. Contar con una tecnología para proteger un dispositivo móvil personal
“Para evitar que los ataques tengan éxito, los usuarios deben desconfiar de los enlaces de descarga o los archivos adjuntos que reciban a través de WhatsApp u otras aplicaciones de mensajería, incluso cuando parezcan proceder de contactos o grupos de confianza. Si crees que eres una víctima, elimina inmediatamente la aplicación del dispositivo, y cambia todas las contraseñas», concluyó Nieva.