研究人員發(fā)現(xiàn)Android惡意軟件冒充Netflix劫持WhatsApp會話

安全研究人員在Google Play上的一款應(yīng)用中發(fā)現(xiàn)了一個新的Android惡意軟件變種，該軟件通過承諾免費訂閱Netflix來吸引受害者。周三，Check Point Research(CPR)表示，這種蠕蟲類移動惡意軟件是在Android應(yīng)用的官方存儲庫Google Play商店中被發(fā)現(xiàn)的。

這款被稱為"FlixOnline"的惡意軟件將自己偽裝成一個合法的Netflix應(yīng)用，似乎重點針對WhatsApp消息應(yīng)用。COVID-19大流行迫使我們許多人長期呆在家里，商店關(guān)門，酒吧關(guān)閉，允許外出的次數(shù)有限，我們轉(zhuǎn)而使用流媒體服務(wù)來打發(fā)時間。到2020年底，Netflix的付費用戶數(shù)突破了2億大關(guān)。很可能是由于COVID-19的刺激，惡意軟件運營商決定抓住這一趨勢。"FlixOnline"欺詐性應(yīng)用承諾全球"無限娛樂"，并因大流行而免費訂閱兩個月的高級Netflix。

然而，一旦下載，該惡意軟件就會"監(jiān)聽"WhatsApp的對話，并自動回復(fù)帶有惡意內(nèi)容的信息。安裝后，該應(yīng)用會要求獲得覆蓋權(quán)限，這是盜竊服務(wù)憑證的常見行為，它還要求忽略電池優(yōu)化，它可以阻止設(shè)備自動關(guān)閉軟件以節(jié)省電力。此外，F(xiàn)lixOnline還要求獲得通知權(quán)限，使惡意軟件能夠訪問與WhatsApp通信相關(guān)的通知。

WhatsApp消息的自動回復(fù)包括以下內(nèi)容，發(fā)送給受害者的聯(lián)系人，"在世界任何地方60天獲得2個月的Netflix高級免費服務(wù)。"，并且附帶一條惡意鏈接。據(jù)研究人員介紹，該惡意軟件可以通過惡意鏈接進(jìn)一步傳播，竊取WhatsApp的對話數(shù)據(jù)，并在安卓設(shè)備上安裝后，有能力通過消息服務(wù)傳播虛假信息或有害內(nèi)容。

此次活動中使用的惡意鏈接會將受害者發(fā)送到一個虛假的Netflix網(wǎng)站，試圖獲取用戶的信用卡信息和證書。然而，由于該消息是從命令和控制（C2）服務(wù)器獲取的，其他惡意活動可能會鏈接到不同的釣魚網(wǎng)站或惡意軟件有效載荷。

在被發(fā)現(xiàn)之前，F(xiàn)lixOnline約造成500名受害者，時間大約為兩個月，而且該惡意軟件很可能會再次出現(xiàn)。CPR將其發(fā)現(xiàn)告知谷歌，目前該應(yīng)用已從Play Store中刪除。WhatsApp也被告知該活動，但由于沒有可利用的漏洞或問題，惡意軟件使用通過消息應(yīng)用程序傳播，因此不需要采取行動。