FlixOnline : Así es el nuevo malware de Android que se disfraza de la aplicación de Netflix y se propaga a través de WhatsApp

Los investigadores de Check Point Software Technologies han descubierto un nuevo malware en la tienda de Google Play llamado FlixOnline, que se hace pasar por la aplicación oficial de Netflix y supuestamente permite a los usuarios ver contenido del servicio de transmisión.

Una vez instalado, el malware monitorea las notificaciones de los usuarios en WhatsApp y, en su nombre, envía respuestas automáticas a los mensajes entrantes que ofrecen dos meses de visualización gratuita de Netflix Premium desde cualquier parte del mundo.

Si se instala correctamente, el programa permite a los atacantes distribuir malware a través de enlaces, robar información y datos de las cuentas de usuario de WhatsApp y distribuir mensajes falsos o maliciosos a los contactos y grupos de WhatsApp.

El malware se diseñó especialmente para propagarse entre dispositivos. Es capaz de cambiar de un dispositivo a otro inmediatamente después de que el usuario de Android haga clic en el enlace del mensaje. Los investigadores de Check Point Research proporcionaron datos sobre el malware encontrado en Google y, posteriormente, la aplicación se eliminó.

Los resultados de la investigación también se enviaron a WhatsApp, aunque no se encontraron vulnerabilidades de su lado. En dos meses, la aplicación FlixOnline se descargó aproximadamente 500 veces. A pesar de que una de esas campañas se detuvo, la familia de tales programas maliciosos continúa existiendo y lo más probable es que regrese a través de otra aplicación.

En este caso, los atacantes utilizaron una técnica de ataque bastante nueva, así como una técnica para interceptar una conexión con WhatsApp mediante el secuestro de notificaciones y la capacidad de realizar acciones predefinidas de ‘rechazar’ o ‘responder’.

El hecho de que el malware se disfrazara con tanta facilidad y, en última instancia, pasara por alto la protección de Play Store plantea serias preocupaciones, señalan los expertos. Afortunadamente, Check Point Research pudo detectar el malware desde el principio e informar rápidamente a Google, que también respondió rápidamente.

Los técnicos recomiendan que se tenga cuidado con los enlaces de descarga o los archivos adjuntos que provienen incluso de contactos de confianza. En Europa, WhatsApp es uno de los servicios de mensajería instantánea más populares, y los piratas informáticos siempre usarán herramientas que son relevantes para muchos. Si sospecha de un ataque, elimine inmediatamente la aplicación y cambie todas sus contraseñas.

Cómo funciona el malware en 4 pasos:

  1. El usuario instala una aplicación con software malicioso de la tienda Google Play.
  2. El malware comienza a escuchar nuevas notificaciones en WhatsApp.
  3. El malware responde a cada mensaje de WhatsApp con un texto especial descargado de un servidor remoto.
  4. Los atacantes difunden mensajes utilizando la marca Netflix y un enlace a un sitio de phishing configurado para robar las credenciales de usuario y la información de la tarjeta de crédito.

Como ya sabemos, en un ataque de phishing, los delincuentes intentan robar cualquier información. Esto podría ser un número de tarjeta de crédito, datos sobre una persona específica o información corporativa. Un ataque de phishing se puede realizar de forma manual o mediante herramientas que automatizan el proceso.

Los atacantes también pueden combinar estos dos métodos: primero, utilizan herramientas que realicen acciones programadas y luego finalizan manualmente el ataque. El phishing apareció casi simultáneamente con el correo electrónico.

El término «phishing» se utilizó por primera vez a mediados de los años 90, después de que adolescentes rebeldes engañaran manualmente los números de tarjetas de crédito de los usuarios del principal portal de Internet AOL en 1994, y luego, en 1995, crearon un programa llamado AOHell.

Que seguía robando números. para ellos. Estos ataques siguen ocurriendo, pero ahora se han convertido en una amenaza para la seguridad mucho más grave. Desde 1995, los ciberdelincuentes han ideado nuevas formas de obtener la información que necesitan de sus víctimas.

Hasta la fecha, también se han creado muchos programas para esto. De hecho, muchas de estas herramientas fueron desarrolladas para pruebas de penetración de sistemas o redes, es decir, para propósitos completamente legales.

PhishX, Phishing Frenzy y Swetabhsuman8

Sin embargo, siempre habrá personas que utilizarán dichas herramientas con intenciones malintencionadas. Además, muchos de estos programas son desarrollados directamente por piratas informáticos para el phishing. Una de las herramientas de phishing, PhishX, está diseñada para robar datos de cuentas bancarias a través de un sitio creado especialmente que imita el sitio real de un banco.

Los delincuentes agregan sus números de teléfono y direcciones postales al sitio para que cuando hagan clic en el enlace «Contactos», la víctima los contacte directamente. Otro ejemplo es la herramienta de phishing por correo electrónico Phishing Frenzy, que se creó para realizar pruebas de penetración, pero que ahora también la utilizan los ciberdelincuentes.

También vale la pena mencionar Swetabhsuman8, una herramienta para hackear cuentas de Instagram utilizando páginas de inicio de sesión de Instagram falsas. La víctima no sabe que esta página fue creada por piratas informáticos e intenta iniciar sesión ingresando su ID y contraseña.

Con estos datos, los piratas informáticos pueden iniciar sesión en la cuenta y comenzar a involucrar a los amigos del usuario en esquemas fraudulentos. Los piratas informáticos no se detienen en la creación de páginas falsas para robar datos.

Pueden configurar un centro de llamadas completo para recibir llamadas. Si se persuade a la víctima, por cualquier motivo, para que llame a su número de teléfono (por ejemplo, se indicó en una carta, SMS o contactos en un sitio web falso), los atacantes están completamente preparados para responder a la llamada.

A diferencia de muchas empresas reales, al llamar a las que tienen que elegir las opciones deseadas del menú de voz y luego esperar en la fila, los estafadores responden de inmediato. Desafortunadamente, la falta de retrasos generalmente indica que está a punto de ser engañado.