Интернет-гигант Google удалил из своего маркета ПО для Android поддельное приложение Netflix, предназначенное для распространения вредоносных программ путем автоматического ответа на сообщения пользователя в WhatsApp.

Ранее в этом году компания Check Point Research обнаружила, что приложение под названием FlixOnline выглядит как Netflix и обещает два месяца бесплатной подписки через сообщения WhatsApp. Однако ссылка, прикрепленная к этим сообщениям, перенаправляет вас на фишинговый сайт, который попытается выманить конфиденциальные данные, включая банковскую карту.

Принцип работы вредоноса следующий. После того, как вы установили приложение FlixOnline из Play Store, оно запрашивает три типа разрешений: screen overlay (оверлей экрана для вывода всплывающих сообщений), игнорирование оптимизации заряда батареи и уведомления. Исследователи из Check Point отметили, что оверлей используется вредоносным ПО для создания поддельных логинов и кражи учетных данных пользователей путем вывода поддельных окон поверх существующих приложений.

Приложение «просматривало» уведомления и автоматически отвечало на пользовательские чаты в WhatsApp сообщением, которое выглядело следующим образом:

«2 месяца Netflix Premium бесплатно ПО ПРИЧИНЕ КАРАНТИНА (коронавирус). * Получите 2 месяца Netflix Premium бесплатно в любой точке мира на 60 дней. Получите его здесь: https: // bit [.] Ly / 3bDmzUw».

Ссылка на сайт, конечно же, была фишинг-страницей для сбора персональной информации пользователя.

В компании Check Point Software отметили, что это фактически новый и очень необычный метод распространения вредоносного ПО. И хотя приложение удалено из Play Store, оно может снова появиться там в другой форме. Целью вредоноса является захват учетной записи WhatsApp пользователей путем сбора уведомлений, а также возможности выполнять предопределенные действия, такие как «закрыть» или «ответить» через диспетчер уведомлений. Тот факт, что вредоносное ПО удалось так легко замаскировать и в конечном итоге обойти защиту Play Store, вызывает серьезные опасения.

Эксперт добавил, что этот инцидент также указывает на ограничения встроенных средств защиты Play Store, поскольку робот Google не смог обнаружить вредоносный код в приложении с помощью своих автоматизированных инструментов. Примечательно, что в WhatsApp нет уязвимости, которая позволяла бы взламывать аккаунт и перехватывать контроль над месенджером.

Приложение FlixOnline было опубликовано на Play Store два месяца назад. Пользователи загрузили и установили его почти 500 раз, прежде чем Google удалил зловред из маркета.

Вообще, злоумышленники часто создают приложения и веб-сайты, которые маскируются под Netflix. Это далеко не новая тенденция. Более того, это один из самых популярных брендов для фишинговых атак в последние годы.