Fake Netflix App on Google Play Spreads Malware Via WhatsApp

Une fausse application Netflix sur Google Play propage des logiciels malveillants via WhatsApp

Le malware vermifuge s’est propagé d’Android à Android en envoyant des messages offrant gratuitement Netflix Premium pendant 60 jours.

Des logiciels malveillants déguisés en application Netflix, cachés sur le Google Play Store, se propagent via les messages WhatsApp, ont découvert des chercheurs.

Selon une analyse de Check Point Research publiée mercredi, le malware se faisait passer pour une application appelée «FlixOnline», qui annonçait via des messages WhatsApp promettant «2 mois de Netflix Premium gratuit partout dans le monde pendant 60 jours». Mais une fois installé, le malware se met à voler des données et des informations d’identification.

Le malware a été conçu pour écouter les messages WhatsApp entrants et répondre automatiquement à tout ce que les victimes reçoivent, avec le contenu de la réponse élaborée par les adversaires. Les réponses ont tenté d’attirer les autres avec l’offre d’un service Netflix gratuit et ont impliqué des liens vers un faux site Netflix qui a hameçonné des informations d’identification et de carte de crédit, ont déclaré des chercheurs.

“L’application s’est avérée être un faux service qui prétend permettre aux utilisateurs de visualiser le contenu Netflix du monde entier sur leurs mobiles”, selon l’analyse. “Cependant, au lieu de permettre à l’utilisateur mobile de voir le contenu Netflix, l’application est en fait conçue pour surveiller les notifications WhatsApp d’un utilisateur, en envoyant des réponses automatiques aux messages entrants d’un utilisateur en utilisant le contenu qu’il reçoit d’un serveur distant.”

Le logiciel malveillant a également pu se propager automatiquement, en envoyant des messages aux contacts et groupes WhatsApp des utilisateurs avec des liens vers la fausse application. À cette fin, les messages automatisés indiquaient: «2 mois de Netflix Premium gratuit sans frais pour RAISON DE QUARANTAINE (CORONA VIRUS) * Obtenez 2 mois de Netflix Premium gratuit partout dans le monde pendant 60 jours.

Au cours des deux mois que l’application était en ligne sur Google Play, le malware a accumulé 500 victimes, selon Check Point. L’entreprise a alerté Google du malware, qui a détruit l’application. Cependant, “la famille de logiciels malveillants est susceptible de rester ici et peut revenir cachée dans une application différente”, ont averti les chercheurs.

«La technique du malware est relativement nouvelle et innovante», a déclaré Aviran Hazum, directeur de Mobile Intelligence chez Check Point, dans l’analyse. «La technique ici est de détourner la connexion à WhatsApp en capturant des notifications, ainsi que la possibilité de prendre des actions prédéfinies, comme« ignorer »ou« répondre »via le gestionnaire de notifications. Le fait que le malware ait pu être déguisé si facilement et finalement contourner les protections du Play Store soulève de sérieux signaux d’alarme. “

FlixOnline intercepte les notifications WhatsApp
Une fois l’application téléchargée depuis le Play Store et installée, elle demande trois autorisations spécifiques, selon l’analyse de Check Point: Overlay, Battery Optimization Ignore et Notification Listener.

La superposition permet à une application malveillante de créer de nouvelles fenêtres par-dessus d’autres applications, ont noté les chercheurs.

“Cela est généralement demandé par les logiciels malveillants pour créer un faux écran de connexion pour d’autres applications, dans le but de voler les informations d’identification de la victime”, a-t-il expliqué.

L’autorisation Ignorer les optimisations de la batterie empêche quant à elle de fermer le logiciel malveillant lorsque le téléphone passe en mode veille, comme le font généralement les applications Android pour économiser la batterie. Cela a permis à l’application “FlixOnline” de fonctionner en continu, d’écouter et d’envoyer de faux messages en arrière-plan même si le téléphone est en veille.

Plus important encore, l’autorisation d’écoute de notification permet au logiciel malveillant d’accéder à toutes les notifications liées aux messages envoyés à l’appareil, avec «la possibilité d’effectuer automatiquement des actions désignées telles que« ignorer »et« répondre »aux messages reçus sur l’appareil», selon Point de contrôle.

Une fois les autorisations accordées, le logiciel malveillant affiche une page de destination qu’il reçoit du serveur de commande et de contrôle (C2) et supprime son icône de l’écran d’accueil. À partir de là, il envoie périodiquement un ping au C2 pour les mises à jour de la configuration.

“Le service peut atteindre ces objectifs en utilisant plusieurs méthodes”, selon l’analyse. “Par exemple, le service peut être déclenché par l’installation de l’application et par une alarme enregistrée en tant qu’action BOOT_COMPLETED, qui est appelée une fois que le périphérique a terminé le processus de démarrage.”

Lorsqu’il s’agit d’analyser les messages WhatsApp, le logiciel malveillant utilise une fonction appelée OnNotificationPosted pour vérifier le nom du package de l’application créant une notification donnée. Si cette application est WhatsApp, le malware «traitera» alors la notification, selon Check Point. Cela consiste à annuler la notification (pour la cacher à l’utilisateur), puis à lire le titre et le contenu de la notification reçue.

“Ensuite, il recherche le composant responsable des réponses en ligne, qui est utilisé pour envoyer la réponse en utilisant la charge utile reçue du serveur C2”, ont expliqué les chercheurs.

La boutique d’applications Android officielle n’est malheureusement pas étrangère aux applications malveillantes et trojanisées. En mars, par exemple, neuf applications malveillantes ont été trouvées sur Google Play, hébergeant un compte-gouttes de logiciels malveillants qui ouvre la voie aux attaquants pour voler à distance des données financières sur des téléphones Android. Et en janvier, Google a démarré 164 applications, téléchargées collectivement un total de 10 millions de fois, car elles diffusaient des publicités perturbatrices.

Pendant ce temps, l’année dernière, le malware Joker a continué de sévir dans les applications Google Play. Joker, qui existe depuis 2017, est un cheval de Troie mobile spécialisé dans un type de fraude à la facturation appelé «fleeceware». Les applications Joker se présentent comme des applications légitimes (comme des jeux, des fonds d’écran, des messagers, des traducteurs et des éditeurs de photos, principalement). Une fois installés, ils simulent les clics et interceptent les SMS pour abonner les victimes à des services premium payants et indésirables. Les applications volent également des messages SMS, des listes de contacts et des informations sur les appareils.

Comment les utilisateurs d’Android peuvent-ils se protéger?
Pour se protéger contre ce type de logiciels malveillants, les utilisateurs doivent se méfier des liens de téléchargement ou des pièces jointes reçus via WhatsApp ou d’autres applications de messagerie, même lorsqu’ils semblent provenir de contacts de confiance ou de groupes de messagerie, a noté Check Point.

Si les utilisateurs se retrouvent avec une fausse application, ils doivent immédiatement supprimer l’application suspecte de l’appareil et procéder à la modification de tous les mots de passe.