"2 mesi gratis di Netflix premium", il pericoloso malware che viaggia su WhatsApp
La scoperta della Check Point Research. Il software malevolo prometteva di visualizzare la piattaforma di streaming, in realtà monitorava le notifiche WhatsApp degli utenti
Un nuovo malware su Google Play Store si è diffuso attraverso WhatsApp. A scoprirlo è stata ancora una volta la Check Point Research (Cpr), che ha spiegato come camuffato come se fosse l’app di Netflix, il malware risponde ai messaggi in arrivo per conto degli utenti con un link relativo all'offerta "2 mesi gratis di Netflix Premium ovunque nel mondo per 60 giorni". Se ha successo, il malware consente di eseguire una serie di attività dannose, tra cui il furto di dati e credenziali.
Il malware che prometteva 60 giorni di Netflix gratis
Il malware è stato progettato per essere "wormable", cioè per diffondersi da un dispositivo Android ad un altro dopo un click sul link, scaricando un ulteriore malware, e quindi, innescando una preoccupante reazione a catena. Potrebbe quindi eseguire una serie di attività dannose, come ad esempio diffondere ulteriore malware tramite link dannosi, rubare credenziali e dati degli account WhatsApp o condividere messaggi fake o pericolosi a contatti e gruppi WhatsApp. Ecco come funziona:
- la vittima installa il malware dal Play Store di Google, credendo di scaricare Netflix
- il malware inizia ad “ascoltare” le nuove notifiche su WhatsApp
- risponde poi ad ogni messaggio WhatsApp che la vittima riceve con una risposta preimpostata
- questa app “fake Netflix” ruba le credenziali e le informazioni della carta di credito
CPR ha trovato il malware nascosto in un'app su Google Play chiamata “FlixOnline”. L'applicazione si è rivelata essere un falso servizio che prometteva agli utenti di visualizzare i contenuti di Netflix da tutto il mondo sui loro cellulari. Tuttavia, invece, l'app era in realtà progettata per monitorare, per l'appunto, le notifiche WhatsApp di un utente, per inviare risposte automatiche ai messaggi in arrivo, utilizzando il contenuto che riceve da un server remoto.
Malware rimosso da Google
CPR, come di consueto, ha comunicato le sue scoperte a Google. L'applicazione dannosa è stata successivamente rimossa, ma nel corso di due mesi, l'app “FlixOnline” è stata scaricata circa 500 volte, producendo probabilmente una reazione a catena pericolosa.
