点击上方蓝字关注我们概述
活动详情
随着移动威胁形势的发展,攻击者不断的在开发新的技术手段以发展和成功分发恶意软件。在此次活动中,Check Point研究人员在Google Play应用商店中发现了一种新型的恶意软件,该恶意软件通过移动用户的WhatsApp消息传播,并且还可以通过WhatsApp的自动回复功能发送进一步的恶意内容。
该恶意软件名为“FlixOnline”,声称允许用户在其手机上查看来自世界各地的Netflix内容。但实际上,该应用程序会监视用户的WhatsApp通知,并使用自动回复功能发送其从C2服务器接收的内容。
该恶意软件将自动发送以下内容,以诱使受害者点击链接下载免费的Netflix服务:
“由于新冠病毒检疫原因,将免费提供2个月的Netflix高级服务。世界上任何地方均可免费获得2个月的Netflix高级服务,限时60天。点击以下链接获取https://bit[.]ly/3bDmzUw。”
一旦受害者安装该恶意软件后,攻击者可以进一步执行以下各种恶意活动:
-
通过恶意链接传播其他恶意软件
-
从用户的WhatsApp账户中窃取数据
-
向用户的WhatsApp联系人和群组传播虚假或恶意消息
恶意软件详情
该恶意软件在安装后,会请求获得覆盖权限、忽略电池优化,以及通知权限。覆盖权限将允许在其他应用程序之上创建新窗口。获得覆盖权限,恶意软件可以创建伪造的“登录”屏幕,从而窃取受害者的凭证信息。忽略电池优化可以使恶意软件即使在闲置了很久后,也不会被设备的电池优化程序所关闭。通知权限使恶意软件可以访问与WhatsApp应用程序相关的通知,并能够自动执行“关闭”和“回复”等指定操作。
一旦用户授予了这些权限,恶意软件便会开始分发恶意有效载荷,并对传入WhatsApp消息进行自动回复。从理论上讲,通过这些自动生成的回复,攻击者可以窃取用户数据,造成与工作相关的聊天组的业务中断,甚至可以扬言要将敏感数据发送给所有用户联系人进行勒索。
该应用程序现以从Google Play商店中删除。在被发现前的2个月的时间里,“FlixOnline”应用程序被下载了大约500次。
总结
这种新型的Android恶意软件具有蠕虫功能,它们可以自行传播,并能够从WhatsApp等受信任的应用程序中操纵或窃取数据。用户需要警惕从WhatsApp或其他消息传递应用程序接收到的下载链接或附件,即使这些消息是来自可信的联系人或消息群组。
END
本文始发于微信公众号(SecTr安全团队):新Android恶意软件利用WhatsApp自动回复功能进行传播
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论