Investigadores de Check Point Research (CPR) han descubierto recientemente una nueva e innovadora amenaza maliciosa en Google Play Store que se difundía a través de los mensajes de WhatsApp. Se trata de un malware que tenía la capacidad de responder automáticamente a los mensajes entrantes en nombre de sus víctimas con mensajes provenientes de un servidor remoto, y que también podía enviar más ciberataques a través de respuestas automáticas a los mensajes de WhatsApp entrantes.
Los expertos encontraron este software malicioso escondido en una aplicación falsa de Netflix llamada FlixOnline, la cual prometía "entretenimiento ilimitado" desde cualquier parte del mundo. Pero la realidad era otra ya que estaba diseñada para monitorizar las notificaciones de WhatsApp del propietario y enviar respuestas automáticas a los mensajes entrantes del mismo, utilizando el contenido que recibe por medio de un servidor remoto de comando y control (C&C).
"Al responder a los mensajes entrantes de WhatsApp con una payload o carga útil de un servidor de comando y control (C&C), este método podría permitir a los ciberdelincuentes distribuir ataques de phishing, propagar malware adicional difundir información falsa o robar credenciales y datos bancarios, así como tener acceso a las conversaciones de los usuarios", ha subrayado Check Point en un comunicado.
Cómo engañaba a los usuarios y qué actividades permitía realizar a los ciberdelincuentes
La firma de ciberseguridad ha explicado que este malware enviaba los siguientes mensajes a sus víctimas para atraerles con la supuesta oferta de un servicio gratuito de Netflix:
- "2 Months of Netflix Premium Free at no cost For REASON OF QUARANTINE (CORONA VIRUS)* Get 2 Months of Netflix Premium Free anywhere in the world for 60 days. Get it now HERE https://bit[.]ly/3bDmzUw".
- "2 Meses de Netflix Premium Gratis Por Motivo de Cuarentena (CORONA VIRUS) * Consigue 2 Meses de Netflix Premium gratis en cualquier parte del mundo durante 60 días. Consíguelo ahora AQUÍ https://bit[.]ly/3bDmzUw".
Con esta técnica, Check Point indica que los ciberdelincuentes podían llevar a cabo una amplia gama de actividades maliciosas entre las que cita estas tres:
- Propagar malware adicional a través de enlaces maliciosos.
- Robar datos de las cuentas de WhatsApp de los usuarios.
- Difundir mensajes falsos o maliciosos a los contactos y grupos de WhatsApp de los usuarios (por ejemplo, grupos relacionados con el trabajo).
Así funcionaba el malware, que Google ya ha bloqueado
La compañía de ciberseguridad también explica que al descargar e instalar una aplicación de Play Store, esta solicita permisos de "Superposición" para "Ignorar Optimización de la Batería" y "Notificación" y que los objetivos detrás de la obtención de estos permisos son:
- La superposición permite a una aplicación maliciosa crear nuevas ventanas encima de otras aplicaciones. Suele solicitarlo el software malicioso para crear una pantalla de "Inicio de sesión" falsa para otras aplicaciones, con el objetivo de robar las credenciales de la víctima.
- Ignorar las optimizaciones de la batería evita que el malware se apague por la propia rutina de la misma, incluso después de estar inactivo durante un período prolongado.
- El permiso más destacado es el acceso a las notificaciones, más concretamente, al servicio "Notification Listener". Una vez habilitado, este permiso proporciona al malware acceso a todas las notificaciones relacionadas con los mensajes enviados al dispositivo, y la capacidad de realizar automáticamente acciones designadas como "descartar" y "responder" a los mismos.
"Si se conceden estos permisos, el malware tiene todo lo que necesita para empezar a distribuir sus payloads maliciosos y emitir respuestas autogeneradas a los mensajes entrantes de WhatsApp, a través de las que es posible robar datos, causar interrupciones en grupos de chat e incluso extorsionar enviando datos sensibles a todos los contactos del usuario", advierte Check Point.
CPR ha informado a Google de la existencia de la aplicación maliciosa compartiendo además los detalles de su investigación y Google ya ha procedido a eliminarla de la PlayStore.
Advertencias sobre esta amenaza y aportan consejos de seguridad
Eusebio Nieva, director técnico de Check Point para España y Portugal, ha valorado el descubrimiento de este malware haciendo esta declaración: "Se trata de una técnica de malware bastante nueva e innovadora que consiste en secuestrar la conexión a WhatsApp capturando las notificaciones, junto con la posibilidad de realizar acciones predefinidas, como 'descartar' o 'responder' a través del gestor de notificaciones. El hecho de que el software malicioso haya podido camuflarse con tanta facilidad y, en última instancia, eludir las protecciones de Play Store, dispara serias alarmas. Aunque hemos podido detener una campaña, es probable que esta familia de malware haya llegado para quedarse y puede volver a esconderse en una aplicación diferente".
"Para evitar que estos ataques tengan éxito, los usuarios deben desconfiar de los enlaces de descarga o los archivos adjuntos que reciban a través de WhatsApp u otras aplicaciones de mensajería, incluso cuando parezcan proceder de contactos o grupos de confianza. Si crees que eres una víctima, elimina inmediatamente la aplicación del dispositivo, y cambia todas las contraseñas".
La compañía de ciberseguridad también ha ofrecido estos consejos de seguridad para los usuarios de Android:
- Instalar una solución de seguridad en el dispositivo.
- Descargar aplicaciones sólo de los mercados oficiales.
- Mantener el dispositivo y las aplicaciones actualizadas.