Si presenta sotto forma di app di Netflix. Ma invece è un malware “annidato” su Google Play Store e si diffonde attraverso Whatsapp sugli smartphone Android. Lo ha individuato Check Point Research, division threat intelligence di Check Point Software Technologies, secondo cui l’utente “vittima” che clicca sul link di download è portato a scaricare un ulteriore malware che genere una reazione a catena e consente di eseguire una serie di attività dannose, tra cui il furto di dati e credenziali.
Progettato per agire come un worm (si diffonde cioè da un dispositivo all’altro) il software malevolo risponde ai messaggi in arrivo per conto delle sue vittime con un link che promette: “2 mesi gratis di Netflix Premium ovunque nel mondo per 60 giorni”.
I 3 maggiori rischi per gli utenti Android
Secondo gli esperti sono tre i maggiori rischi: diffusione di ulteriore malware tramite link dannosi, furto di credenziali e dati dagli account Whatsapp, condivisione di messaggi fake o pericolosi ai contatti e ai gruppi Whatsapp.
Ecco come funziona il malware: la vittima installa il malware dal Play Store di Google, credendo di scaricare Netflix. Da questo momento il malware inizia ad “ascoltare” le nuove notifiche su Whatsapp e risponde poi ad ogni messaggio Whatsapp che la vittima riceve con una risposta preimpostata.
Il malware ha inviato la seguente risposta automatica ai messaggi Whatsapp in entrata, tentando di attirare altre vittime con l’offerta di un servizio Netflix gratuito: “2 mesi gratis di Netflix Premium per via del lockdown da Coronavirus* Ottieni 2 mesi gratis di Netflix Premium in tutto il mondo per 60 giorni. Premi QUI”.
Dove si annida il malware
Check Point Research ha individuato il malware nascosto in un’app su Google Play chiamata “FlixOnline”. L’applicazione si è rivelata essere un falso servizio che prometteva agli utenti di visualizzare i contenuti di Netflix da tutto il mondo sui loro cellulari. Tuttavia, invece, l’app era in realtà progettata per monitorare le notifiche WhatsApp di un utente, per inviare risposte automatiche ai messaggi in arrivo, utilizzando il contenuto che riceve da un server remoto.
L’azienda di sicurezza informatica ha comunicato le sue scoperte a Google: l’applicazione dannosa è stata successivamente rimossa, ma nel corso di due mesi l’app “FlixOnline” è stata scaricata circa 500 volte, producendo “probabilmente – fa sapere l’azienda – una reazione a catena pericolosa”. Check Point Research ha condiviso i risultati della sua ricerca con Whatsapp, anche se non c’è alcuna vulnerabilità da parte dell’app di messaggistica.
In vista nuovi “mascheramenti”
“La tecnica del malware è abbastanza nuova e innovativa – dice Aviran Hazum, Manager of Mobile Intelligence presso Check Point Software -. Consiste nel dirottare la connessione a Whatsapp acquisendo le notifiche, insieme alla possibilità di eseguire azioni predefinite, come “ignora” o “rispondi” tramite il gestore delle notifiche. Il fatto che il malware sia stato in grado di mascherarsi così facilmente aggirando le protezioni del Play Store solleva alcuni seri segnali di allarme”. Sebbene abbiamo interrotto una campagna del malware, è probabile che la famiglia di malware rimanga. Il malware potrebbe tornare nascosto in un’app diversa.
In caso di sospetto “incontro” con il malware rimuovere immediatamente l’applicazione dal dispositivo e procedere con la modifica di tutte le password.
