Si veste da Netflix e viaggia su WhatsApp: tutto sul pericoloso malware Android

07 Aprile 2021 27

Chi non conosce Netflix e WhatsApp? Devono averlo pensato anche gli hacker che hanno messo a punto un nuovo, pericoloso malware Android che sfrutta le due piattaforme per trarre in inganno le potenziali vittime e mettere a segno l'attacco.

Si parte da un'app scaricabile dal Play Store che si presenta apparentemente collegata a Netflix - da cui scippa senza troppi riguardi l'icona - e si arriva ad un insidioso sistema di diffusione di un malware che si replica tramite i messaggi di WhatsApp.

Lo smartphone diventa vettore di diffusione del virus informatico, mentre l'utente rischia la sottrazione di dati personali - compresi quelli delle carte di credito e dell'account WhatsApp - e di diffondere messaggi indesiderati a contatti e gruppi della piattaforma di messaggistica.

LO SCHEMA D'ATTACCO. NON UTILIZZATE FLIXONLINE

Il punto di partenza è l'app FlixOnline che nasconde il malware dietro la promessa di consentire l'accesso ai contenuti di Netflix. Dopo averla installata il malware monitora le notifiche di WhatsApp - da notare che in fase di installazione l'app chiede espliciti permessi all'utente che dovrebbero quanto meno insospettire. Successivamente il malware passa al contrattacco, iniziando a rispondere ad ogni messaggio di WhatsApp con un testo preimpostato:

2 mesi gratis di Netflix Premium per via del lockdown da Coronavirus* Ottieni 2 mesi gratis di Netflix Premium in tutto il mondo per 60 giorni. Premi QUI https://bit[.]ly/3bDmzUw”.

Il click sul link indicato avviava il download di un altro malware da un server remoto controllato dall'hacker. In sintesi:

  1. download app FlixOnline (malware)
  2. il malware capta notifiche e risponde ai messaggi con un testo preimpostato
  3. il link nel messaggio WhatsApp avvia il download di un nuovo malware


È facile intuire che con un sistema di questo tipo la propagazione del malware da uno smartphone all'altro può crescere in maniera esponenziale, ben al di là dei download dell'app.

APP RIMOSSA DAL PLAY STORE, MA NUMEROSI DOWNLOAD

A fare luce sul nuovo malware sono stati i ricercatori di Check Point Research che, dopo le opportune indagini, hanno segnalato l'app a Google. FlixOnline è stata rimossa dal Play Store, ma non senza essere stata scaricata circa 500 volte.

Il numero di chi può essere caduto nella trappola può essere ancora più ampio visto che, come detto, al numero di download bisogna poi sommare il numero di click sul link contenuto nel messaggio inviato dal virus. Schema di attacco insidioso, anche se con un po' di attenzione è possibile non correre rischi in casi simili: la richiesta dei permessi durante l'installazione è un primo campanello d'allarme (perché un'app di streaming dovrebbe avere accesso alle notifiche dei messaggi?), così come lo sono le roboanti promesse di accesso gratuito a Netflix. Senza troppa difficoltà dovrebbe inoltre essere chiaro che quella di FlixOnline aveva poco a che spartire con l'app ufficiale di Netflix. Certo è che il lasso di tempo tra l'inserimento di un'app malevola nel Play Store e la successiva rimozione crea sempre una pericolosa zona grigia in cui qualcuno può cadere nella trappola tesa dagli hacker.

Note importanti:

  • Chi ha installato l'app di FlixOnline dovrebbe rimuoverla quanto prima

  • I ricercatori hanno confermato che il sistema non sfrutta alcuna vulnerabilità di WhatsApp (semmai la vulnerabilità sta in chi concede troppi permessi ad app di cui è bene diffidare)


27

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Sandro

Per non parlare dei principi nigeriani che hanno soldi bloccati

BerlusconiFica

Sanno tutto di me, sono maggiorenne ma mi chiedono comunque una copia di un documento o di uan carta di credito per vedere un video vm18 su youtube poi caricano ste robe sul loro store.
Google ripigliati.

Davide
Bastia Javi

il problema non è del SO, il problema è l'ignoranza in matteria della gente ed è un problema che non e nato con l'avvento dei smartphone, un problema che windows, prima di android lo porta appreso da anni, l'accesso facilitato alla tecnologia comporta pure problemi negativi oltre a quelli positivi, problemi difficili da risolvere ma non impossibili, si deve assolutamente iniziare subito a inserire l'educazione in campo informatico a scuola, dalle elementari, purtroppo in Italia le cose vanno a rilento per non dire peggio.

ErCipolla

Vero, ma cosa vuoi farci... cioè, che soluzione proporresti?

Non ha senso togliere l'API perché la gente è troppo pigra per leggere 2 righe, sarebbe una soluzione a perdere, puoi applicarla a qualsiasi permesso... togliamo la possibilità alle app di usare la geolocalizzazione perché la gente non si rende conto che l'app torcia non ha bisogno di usare il gps? Ragionando così in pochi passaggi ti ritrovi con un feature phone.

A mio avviso l'implementazione attuale a livello di SO è corretta, al limite i controlli più seri vanno fatti a livello di distribuzione dell'app, ovvero a livello di Play Store.

Bastia Javi

gran parte dei utenti neanche sanno che vuole dire ''dare dei permessi alle app'' clickano ''ok''---''ok''---''0k'' alla velocità della luce per finire subito l'installazione del app perché per loro è solo una rottura di ...

Squak9000

non penso che gente che frequenta questo blog scarichi 'sta roba.
Di solito è gente totalmente estranea a questo tipo di informazione.

Ansem The Seeker Of Darkness

Ma quanti decenni sono che si dice di non clickare "hai vinto questa cosa gratis! Metti i tuoi dati qui!"?
Rimango basito che qualcuno ancora ci caschi semmai.

Detto questo: il mondo si sta muovendo verso privacy e sicurezza come nuovo mantra del marketing, google dovrà adeguarsi un minimo.

ErCipolla
Mariano
ErCipolla

Il "buco" qua sono gli scarsi e scadenti controlli effettuati sul play store, ma dal punto di vista del sistema operativo non c'è stato alcun "buco", l'api di gestione notifiche è standard e permette un sacco di funzioni utili, toglierla per casi come questo sarebbe come tagliarsi una mano per evitare di doversi tagliare le unghie...

Giardiniere Willy

Stavo per scriverlo io...
Mi aspettavo come minimo 1mln di download

ErCipolla

No, non sono noccioline, sono briciole di noccioline... è un numero di download bassissimo rapportato al numero di utenti, ci sono state app malevole sullo store con MOLTI più download e per molto più tempo in passato. (non sto dicendo che sia da ignorare eh, bada bene... dico solo che l'articolo sta cercando di pompare la portata della notizia, quando la diffusione reale del malware è stata insignificante, anche perché in quei 500 ricorda che rientrano anche tutti quelli che l'hanno aperta e, visti i permessi molto sospetti, disinstallata subito).

Ikaro

In questi casi basta una revisione automatizzata (un algoritmo che vede se una icona è palesemente copiata da un'app famosa penso riescano a farlo in google, come anche gli screenshot della app originale)

HdBfs

IA di qua e IA DI là e poi non riescono manco a bloccare l'icona di un'app simile ad una famosa

Mariano

Beh è circa lo 0.000001% degli smartphone android, non parliamo di noccioline

ErCipolla

Su questo siamo d'accordo (in realtà in generale la barriera d'ingresso sul play store è sempre stata troppo lasca).
Anche se c'è da dire che già di per se in Android questo non è uno dei permessi standard, è classificato come "permesso speciale", devi attivarlo manualmente e ti compare un popup molto esplicito su cosa può fare l'applicazione, vedi screenshot allegato (ma ripeto: concordo che lato Play Store servono controlli più severi, lo dico da sempre... anche perché anche se non fosse un malware quest'app non passerebbe comunque se sottoposta a controllo manuale, dato che sta chiaramente plagiando nomi e loghi di un'altra app ben più famosa)
https://uploads.disquscdn.c...

Geel

Io penso che app che richiedono permessi così elevati debbano essere sottoposte a una revisione manuale e non a quella automatizzata di Google

ErCipolla

Nessuna escalation da quanto leggo, usa API standard con regolare richiesta di permesso all'utente... il problema, come nel 99% dei casi del genere, è la scarsa consapevolezza degli utenti che concedono i permessi più disparati senza neanche chiedersi cosa stanno facendo, tipo la classica app torcia che ti chiede accesso a rubrica, posizione e cronologia...

ErCipolla
Edoardo Motta

Nessuna app dovrebbe avere questa escalation di permessi

Mi ricordo che una volta avevo vinto un ipad e invece era un vairus.

sicuramente, fermo restando che, nonostante trovi ios troppo restrittivo nella comunicazione tra le app, google spesso esagera nel senso opposto lasciando aperti enormi buchi come questo

Bibbidibobbidibu

Non per dire, ma un po' allocchi si deve essere per cascare in certe trappole....

gastro67

condivido in pieno. Aggiungo che in qualsiasi ambito si dovrebbe usare il cervello, ma tant'è...

Barnum insegna! :(

NaXter24R

Oh per me la colpa è di chi ci casca.
Primo, ma non ti viene il dubbio col messaggio iniziale?
Secondo, se anche non ti fosse venuto, nel momento in cui apri un link strano e vedi che non è Netflix, non ti viene un altro dubbio?

Il confrontone 2021: Galaxy S21 Ultra vs iPhone 12 Pro Max, Find X3 Pro e Mi 11 5G

5G Standalone: cos'è e quali sono le differenze rispetto all'attuale 5G

Guida all'Etichetta Energetica 2021: cosa cambia e come si legge

I 5 migliori servizi Cloud per salvare e condividere file, documenti, foto e altro