检查点研究(CPR)最近发现了Google播放的恶意软件隐藏在一个能够通过用户的WhatsApp消息传播自己的假应用程序中。如果用户下载了虚假应用程序并不是授予恶意软件的适当权限,则恶意软件能够自动回复受害者的“传入的WhatsApp消息,其中包含从命令和控制(C& c)服务器接收的有效载荷。这种独特的方法可以使威胁参与者能够分发网络钓鱼攻击,从用户的WhatsApp帐户中传播错误信息或窃取凭据和数据。
随着移动威胁景观的发展,威胁演员始终寻求开发新技术来发展和成功分发恶意软件。在这一特定的广告系列中,检查点的研究人员在Google Play App Store上发现了一种新的和创新的恶意威胁,它通过移动用户的WhatsApp对话传播本身,并且还可以通过自动回复来发送进一步的恶意内容到传入的WhatsApp消息。
研究人员在Google Play上发现了隐藏的恶意软件,称为“Flixonline”。“该应用程序是一个假的服务,声称用户允许用户从世界各地查看世界各地的Netflix内容。然而,而不是允许移动用户查看NetFlix内容,而是实际上设计用于监视用户的WhatsApp通知,并使用它从远程命令和控制(C& C)接收的内容向用户的传入消息发送自动答复) 服务器。
恶意软件向其受害者发送以下响应,并利用免费Netflix服务提供它们:
“2个月的Netflix Premium免费无需检疫(Corona病毒)*在世界上的任何地方免费获得2个月的Netflix溢价60天。现在在这里得到它https:// bit [。] ly / 3bdmzuw。“
向用户的WhatsApp联系人和组传播假或恶意消息(例如,与工作相关的组)
通过威胁向所有联系人发送敏感的WhatsApp数据或对话来勒索用户
从播放商店下载应用程序并安装时,恶意软件启动请求“覆盖”,“电池优化忽略”和“通知”权限的服务。获得这些权限的目的是:
叠加允许恶意应用程序在其他应用程序的顶部创建新窗口。这通常由恶意软件要求为其他应用程序创建假“登录”屏幕,目的是窃取受害者的凭据。
忽略电池优化使设备的电池优化例程停止了恶意软件,即使在延长时段空闲状态之后,即使在空闲状态之后也是如此。
最突出的权限是通知访问,更具体地,通知侦听器服务。启用后,此权限提供了对与发送到设备发送到设备相关的消息的所有通知的恶意软件,以及自动执行指定的操作,例如“解雇”和“回复”到设备上接收的消息。
权限被授予后,恶意软件显示它从C&amp的登录页面获取.C服务器,并立即隐藏其图标,以便无法轻易删除恶意软件。这是通过定期联系C& C的服务来完成的,并相应地更新恶意软件的配置。该服务可以通过使用多种方法来实现这些目标。例如,可以通过安装应用程序和通过警报登记的警报来触发服务,我在设备完成引导过程之后调用的boot_completed操作。
未使用,可能会指示发送邮件量的“上限”。
一旦完成,恶意软件就会有关分发有效载荷所需的一切。使用OnnotificationPosted回调,恶意软件检查发起应用程序的包名称,如果该应用程序是WhatsApp,则会处理通知。
首先,恶意软件取消通知以将其隐藏到用户,并读取收到的通知的标题和内容。接下来,它搜索负责内联回复的组件,该组件用于使用从C&amp的有效载荷发送回复。
检查点研究负责任地通知Google关于恶意应用程序以及其研究的细节,谷歌快速删除了播放商店的应用程序。在2个月的过程中,“Flixonline”应用程序下载了大约500次。
这种令人讨厌的Android恶意软件具有创新和危险的新技术,用于传播自己,以及操纵或窃取来自WhatsApp等可信应用的数据。它突出显示用户应该是通过WhatsApp或其他消息传递应用程序接收的下载链接或附件,即使它们似乎来自受信任的联系人或消息传递组。如果用户被感染,则应从设备中删除应用程序,并更改密码。
检查点和谐移动是市场领先的移动威胁防御(MTD)解决方案,提供最广泛的功能,以帮助您保护您的移动劳动力。 Harmony Mobile为所有移动向量提供保护,包括使用恶意软件下载恶意应用程序和应用程序。学到更多。