偽裝成 Netflix App 的惡意軟件潛伏在 Google Play 商店并通過 WhatsApp 傳播

這種蠕蟲惡意軟件通過發送提供60天免費Netflix付費的信息，在安卓系統之間傳播。

研究人員發現，偽裝成Netflix應用程序的惡意軟件潛伏在Google Play商店中，并通過WhatsApp消息傳播。

根據周三發布的Check Point Research分析，該惡意軟件偽裝成一個名為“ FlixOnline ”的應用程序，該應用程序通過WhatsApp消息進行了廣告宣傳，承諾“在世界范圍內任何地方都可以使用2個月的Netflix Premium免費版，持續60天”。但是一旦安裝，該惡意軟件就會開始竊取數據和憑據。

該惡意軟件旨在偵聽傳入的WhatsApp消息，并利用對手精心設計的響應內容自動響應受害者收到的任何消息。研究人員說，這些回應試圖通過提供免費的Netflix服務來吸引其他人，并包含指向偽造的Netflix網站的鏈接，該網站竊取了憑據和信用卡信息。

該分析稱:“這款應用被證明是一款虛假服務，聲稱它可以讓用戶在手機上觀看來自世界各地的Netflix內容。”“然而，這款應用并不允許移動用戶查看Netflix的內容，它實際上是被設計用來監控用戶的WhatsApp通知，并使用從遠程服務器接收到的內容自動回復用戶收到的消息。”

該惡意軟件還能夠自我傳播，將消息發送到用戶的WhatsApp聯系人和群組，并帶有指向虛假應用程序的鏈接。為此，自動消息顯示為：“免費提供2個月的Netflix Premium免費服務，以確保檢定理由（冠狀病毒）*在世界上任何地方均可獲得2個月的Netflix Premium免費服務，為期60天。立即獲得它(Bitly鏈接)。”

據Check Point稱，在該應用程序在Google Play上運行的兩個月中，該惡意軟件激起了500名受害者。該公司向Google發出了惡意軟件警報，該惡意軟件導致該應用程序癱瘓。但是，研究人員警告說：“惡意軟件家族可能會保留下來，并可能隱藏在其他應用程序中。”

Check Point移動智能經理Aviran Hazum在分析中說：“惡意軟件的技術是相當新穎和創新的。” “這里的技術是通過捕獲通知來劫持與WhatsApp的連接，并能夠通過通知管理器執行預定義的動作，例如’dismiss’或’reply’。能夠如此輕松地偽裝該惡意軟件并最終繞過Play商店的保護這一事實引起了一些嚴重的危險信號。”

FlixOnline攔截WhatsApp通知

從Play商店下載并安裝該應用程序后，根據檢查點分析，它會請求三個特定的權限：覆蓋圖，電池優化忽略和通知偵聽器。

研究人員指出，Overlay允許惡意應用程序在其他應用程序之上創建新窗口。

他們解釋說：“惡意軟件通常要求這樣做，以便為其他應用程序創建偽造的登錄界面，目的是竊取受害者的憑據。”

同時，“忽略電池優化”權限可以阻止手機進入空閑模式時關閉惡意軟件，就像Android應用程序通常這樣做是為了節省電池電量。這樣，即使手機處于休眠狀態，“ FlixOnline”應用程序也可以在后臺連續運行，收聽和發送虛假消息。

最重要的是，“通知偵聽器”權限允許惡意軟件訪問與發送到設備的消息有關的所有通知，并具有“能夠自動執行指定的操作，例如對設備上收到的消息執行’關閉’和’回復’的功能”。Check Point說。

授予權限后，該惡意軟件將顯示其從命令和控制服務器（C2）接收的登錄頁面，并將其圖標從主屏幕上刪除。從那里，它會定期ping C2以進行配置更新。

分析稱：“該服務可以通過多種方法實現這些目標。” “例如，可以通過應用程序的安裝和注冊為BOOT_COMPLETED操作的警報來觸發該服務，該警報在設備完成啟動過程之后被調用。”

在解析WhatsApp消息時，該惡意軟件使用名為OnNotificationPosted的功能來檢查創建給定通知的應用程序的程序包名稱。根據Check Point的說法，如果該應用程序是WhatsApp，則惡意軟件將“處理”通知。這包括取消通知（以將其隱藏給用戶），然后讀取接收到的通知的標題和內容。

研究人員解釋說：“下一步，它搜索負責內聯回復的組件，該組件用于使用從C2服務器接收到的有效負載發送回復。”

Google Play上帶有惡意軟件的應用

不幸的是，官方Android應用商店對惡意和木馬應用并不陌生。例如，3月份在Google Play上發現了9個惡意應用程序，其中包含一個惡意軟件刪除程序，為攻擊者從Android手機遠程竊取財務數據鋪平了道路。在一月份，Google啟動了164個應用程序，總共下載了1000萬次，因為它們正在投放具有破壞性的廣告。

去年同期，該Joker惡意軟件繼續困擾著Google Play應用。自2017年以來一直存在的Joker是一種移動木馬，專門研究一種稱為“ fleeceware”的計費欺詐類型。小丑應用程序將自己宣傳為合法應用程序（主要是游戲，壁紙，信使，翻譯和照片編輯器）。安裝后，它們會模擬點擊并攔截SMS消息，以使受害者訂閱不需要的，付費的高級服務。這些應用程序還會竊取SMS消息，聯系人列表和設備信息。

Android用戶如何保護自己？

為了防止這種類型的惡意軟件的侵害，用戶應該警惕通過WhatsApp或其他消息傳遞應用程序收到的下載鏈接或附件，即使它們看起來來自受信任的聯系人或消息傳遞組，Check Point指出。

如果用戶發現自己使用的是偽造的應用程序，則應立即從設備中刪除可疑應用程序，然后繼續更改所有密碼。