Gli esperti di Check Point Research hanno scoperto un nuovo malware per Android che si propaga da uno smartphone all’altro attraverso i messaggi di WhatsApp. La fonte era un’app fasulla pubblicata sul Google Play Store che avrebbe consentito di accedere ai contenuti di Netflix senza abbonamento.
Il malware che invia messaggi su WhatsApp
I ricercatori hanno trovato il malware nell’app FlixOnline pubblicata sullo store di Google con il logo di Netflix. Quando viene installata avvia un servizio che richiede tre permessi. Uno di essi serve per mostrare una schermata che solitamente viene sfruttata per rubare le credenziali di accesso. Il secondo consente di rimanere attiva anche quando viene attivata la funzionalità di risparmio energetico. L’ultimo permesso è quello principale, in quanto viene utilizzato per accedere alle notifiche di WhatsApp per i messaggi in arrivo e di rispondere in maniera automatica.
Al termine dell’installazione, l’app nasconde la sua icona per rendere più difficile la rimozione. Il malware intercetta le notifiche di WhatsApp, quindi le nasconde e invia la seguente risposta: “2 Months of Netflix Premium Free at no cost For REASON OF QUARANTINE (CORONA VIRUS). Get 2 Months of Netflix Premium Free anywhere in the world for 60 days. Get it now HERE” (“2 mesi gratis di Netflix Premium per via del lockdown da Coronavirus. Ottieni 2 mesi gratis di Netflix Premium in tutto il mondo per 60 giorni. Tocca QUI“).
I malintenzionati possono eseguire diverse azioni: diffondere il malware tramite link, rubare i dati dell’account WhatsApp, diffondere messaggi falsi o infetti a contatti e gruppi WhatsApp e minacciare gli utenti di inviare conversazioni sensibili a tutti i contatti.
Dopo aver ricevuto la segnalazione da Check Point Research, Google ha rimosso l’app dallo store. In due mesi era stata scaricata circa 500 volte.