FlixOnline, el malware que corre por los chats de WhatsApp: No vas a tener Netflix gratis

Check Point descubre una aplicaci��n maliciosa para Android llamada FlixOnline que roba datos de WhatsApp.

Actualizado a 7 de abril de 2021 23:52 CEST

Con m��s de 2.000 millones de usuarios activos al mes, no existe nada mejor que WhatsApp para intentar colar estafas y timos en cuanto a alcance y posibles v��ctimas, sobre todo si se venden con ofertas de servicios gratis que suelen ser de pago. ?Netflix gratis durante 2 meses? Es una oferta tan buena que parece mentira, y de hecho lo es.

FlixOnline, malware por WhatsApp

A medida que el panorama de las amenazas m��viles evoluciona, los actores de las amenazas siempre buscan desarrollar nuevas t��cnicas para evolucionar y distribuir con ��xito el malware. Check Point Research (CPR) ha descubierto recientemente una nueva amenaza maliciosa en la tienda de aplicaciones Google Play que se propaga a trav��s de las conversaciones de WhatsApp de los usuarios de m��viles, y que tambi��n puede enviar m��s contenido malicioso a trav��s de respuestas autom��ticas a los mensajes de WhatsApp entrantes.

Este m��todo podr��a permitir a un hacker:

- Distribuir ataques de phishing

- Propagar m��s malware

- Difundir informaci��n falsa

- Robar credenciales y datos de la cuenta de WhatsApp

- Robar credenciales y datos de los chats de los usuarios

Netflix Premium gratis 2 meses

Los investigadores encontraron el malware escondido dentro de una aplicaci��n en Google Play llamada 'FlixOnline'. La aplicaci��n es un servicio falso que dice permitir a los usuarios ver contenidos de Netflix de todo el mundo en sus m��viles. Pero en realidad, en lugar de permitir al usuario del m��vil ver el contenido de Netflix, la aplicaci��n est�� dise?ada para ��monitorizar las notificaciones de WhatsApp del usuario, y para enviar respuestas autom��ticas a los mensajes entrantes del usuario utilizando el contenido que recibe de un servidor remoto de comando y control (C&C)��.

El malware env��a a trav��s de WhatsApp el siguiente mensaje a sus v��ctimas, atray��ndolas con la oferta de un servicio gratuito de Netflix:

"2 Meses de Netflix Premium Gratis Por Raz��n de la Cuarentena (VIRUS CORONA)* Consigue 2 Meses de Netflix Premium Gratis en cualquier parte del mundo durante 60 d��as. Cons��guelo ahora AQU? https://bit[.]ly/3bDmzUw".

Cuando la aplicaci��n se descarga de la Play Store y se instala, el malware inicia un servicio que solicita permisos de 'Superposici��n', ��Ignorar Optimizaci��n de la Bater��a' y 'Notificaci��n'. El prop��sito detr��s de la obtenci��n de estos permisos es:

- La superposici��n permite a una aplicaci��n maliciosa crear nuevas ventanas encima de otras aplicaciones. Esto suele ser solicitado por el malware para crear una pantalla de "Inicio de sesi��n" falsa para otras aplicaciones, con el objetivo de robar las credenciales de la v��ctima.

- Ignorar las optimizaciones de la bater��a evita que el malware se apague por la rutina de optimizaci��n de la bater��a del dispositivo, incluso despu��s de estar inactivo durante un per��odo prolongado.

- El permiso m��s destacado es el acceso a las notificaciones, m��s concretamente, al servicio Notification Listener. Una vez habilitado, este permiso proporciona al malware acceso a todas las notificaciones relacionadas con los mensajes enviados al dispositivo, y la capacidad de realizar autom��ticamente acciones designadas como "descartar" y "responder" a los mensajes recibidos en el dispositivo.

La amenaza est�� retirada

Si se conceden estos permisos, el malware tiene todo lo que necesita para empezar a distribuir sus cargas ��tiles maliciosas y responder a los mensajes entrantes de WhatsApp con respuestas autogeneradas. En teor��a, a trav��s de estas respuestas autogeneradas, un hacker puede robar datos, causar interrupciones en grupos de chat relacionados con el trabajo, e incluso extorsionar enviando datos sensibles a todos los contactos del usuario.

Check Point notific�� a Google sobre la aplicaci��n maliciosa y los detalles de su investigaci��n, y Google retir�� r��pidamente la aplicaci��n de la Play Store. Pero ello no evit�� que ��en el transcurso de 2 meses, la aplicaci��n "FlixOnline" se descargase aproximadamente 500 veces��, lo que supone 500 v��ctimas en potencia.

Seg��n los expertos de CPR, ��este malware para Android, que se puede convertir en gusano, presenta nuevas t��cnicas innovadoras y peligrosas para propagarse, y para manipular o robar datos de aplicaciones de confianza como WhatsApp.

Por ello, los usuarios deben desconfiar de los enlaces de descarga o los archivos adjuntos que reciban a trav��s de WhatsApp u otras aplicaciones de mensajer��a, incluso cuando parezcan proceder de contactos o grupos de mensajer��a de confianza��.