Malware disfarçado de aplicativo Netflix se espalha via WhatsApp

A Check Point descobriu um aplicativo malicioso, malware, em aplicativo da Google Play Store. Apresentando-se como um serviço da Netflix, o FlixOnline prometia acesso ilimitado ao conteúdo da famosa plataforma de streaming. Assim que o aplicativo era baixado, o malware disseminava-se por meio do WhatsApp entre os grupos e contatos da vítima para os quais eram enviados automaticamente links maliciosos. Apesar de terem conseguido bloquear essa campanha, os pesquisadores da Check Point alertam sobre a possibilidade de a família de malware permanecer e ainda poder retornar oculta em um aplicativo diferente.

Potenciais consequências da infecção do seu dispositivo móvel
Se for bem-sucedido, o malware permite que seus ‘agentes’ executem uma série de atividades maliciosas, como disseminar malware por meio de links fraudulentos; roubar credenciais e dados das contas de WhatsApp dos usuários, e disseminar mensagens falsas ou prejudiciais entre os contatos e grupos de WhatsApp da vítima – por exemplo, grupos de trabalho.

O malware foi projetado para ser wormable, o que significa que pode se espalhar de um dispositivo Android para outro depois que o usuário Android clica no link enviado na mensagem e baixa o malware.

Por trás de uma falsa Netflix
Os pesquisadores da Check Point revelam que o malware se escondia em uma aplicação da Google Play Store chamada FlixOnline. O aplicativo apresentava-se como um serviço que permitiria aos usuários assistir a conteúdo da Netflix de vários países. Na verdade, tratava-se de uma plataforma criada para monitorar as notificações de WhatsApp dos usuários, enviando respostas automáticas a mensagens recebidas.

Como funciona o malware
A vítima instala o malware da Google Play Store e, então, o malware começa a ‘ouvir’ as novas notificações no WhatsApp. No passo seguinte, o malware responde a todas as mensagens do WhatsApp que a vítima recebe com uma resposta elaborada pelos atacantes. Nesta campanha, a resposta foi um site falso da Netflix que procurava obter as credenciais e informações de cartão de crédito.

A mensagem do WhatsApp com script
O malware enviou a seguinte resposta automática às mensagens recebidas do WhatsApp de suas vítimas, tentando atrair outras pessoas com a oferta de um serviço gratuito da Netflix: “2 meses de Netflix Premium grátis sem custo por MOTIVO DA QUARENTENA (CORONAVÍRUS) * Obtenha 2 meses de Netflix Premium Free em qualquer lugar do mundo por 60 dias. Obtenha agora AQUI [https: // bit [.] Ly / 3bDmzUw] https: // bit [.] Ly / 3bDmzUw ”.

“O fato de o malware ter conseguido ultrapassar tão facilmente as barreiras de segurança da loja oficial levanta sérias bandeiras vermelhas. Apesar de termos conseguido bloquear uma das campanhas, é provável que a família de malware permaneça de modo a regressar, por exemplo, em um aplicativo diferente”, diz Aviran Hazum, gerente de Inteligência Móvel da Check Point. “As barreiras da Play Store protegem apenas até um certo ponto. Soluções de segurança móvel são cada vez mais imprescindíveis. Como detectamos o malware com rapidez e informamos imediatamente, o Google igualmente procedeu com agilidade e prontamente. Se o usuário desconfiar que é uma vítima dessa campanha, a nossa recomendação é que desinstale o aplicativo do seu dispositivo e altere imediatamente todas as suas senhas”, ressalta Hazum.

Dicas importantes
A empresa lista três ações básicas para usuários:  instalar uma solução de segurança no seu dispositivo; fazer downloads somente a partir de fornecedores oficiais e, manter seu dispositivo móvel e respectivos aplicativos sempre atualizados.

A equipe da Check Point Research revelou suas conclusões ao Google, que removeu o aplicativo malicioso prontamente. Ao longo de dois meses, o aplicativo FlixOnline foi baixado cerca de 500 vezes. Os pesquisadores da Check Point também compartilharam suas descobertas com o WhatsApp, embora não haja vulnerabilidade neste aplicativo de mensagens instantâneas e chamadas de voz.

Imagem: divulgação Check Point.