“2 Meses de Netflix Premium Gratis Por Motivo de Cuarentena (CORONA VIRUS) * Consigue 2 Meses de Netflix Premium gratis en cualquier parte del mundo durante 60 días. Consíguelo ahora AQUÍ”.
En inglés y acompañado con un link, cuando menos, sospechoso; este es el mensaje que a cientos de usuarios de WhatsApp les ha llegado a su aplicación de mensajería instantánea en las últimas semanas. FlixOnline es el nombre de la tentadora (y peligrosa) trampa. Pero tenemos malas noticias: no se trata de una promoción impulsada por la plataforma de streaming; y ni siquiera el desenlace lleva al usuario a poder disfrutar de películas o series en los dispositivos móviles, computadoras o Smart TV. Todo lo contrario, quienes hagan click en el link que acompaña este tentador anuncio estarán dándole acceso a piratas cibernéticos para que accedan a credenciales, datos y conversaciones de la cuenta de WhatsApp de la víctima e, incluso, hasta datos referidos a la seguridad bancaria y de tarjetas de crédito.
Se trata de un malware, una aplicación maliciosa (disfrazada de un producto tentador y atractivo) que convierte a quienes caen en la trampa en víctimas de phising -robo de datos privados y personales y que hacen a la seguridad informática-. Y en los últimos días ha tenido una fuerte propagación en los dispositivos con el sistema operativo de Android.
Desde la firma Check Point Research, especializada en seguridad informática, resaltaron los riesgos de esta aplicación maliciosa y todo lo referido a la investigación efectuada sobre FlixOnline; procedimiento que derivó en que Google la elimine del Play Store. En solo dos meses, la aplicación maliciosa tuvo cerca de 500 descargas.
“El malware estaba diseñado con capacidad para responder automáticamente a los mensajes entrantes con mensajes provenientes de un servidor remoto en nombre de sus víctimas. CPR encontró el software malicioso escondido en una aplicación falsa de Netflix en Play Store llamada FlixOnline, que prometía ‘entretenimiento ilimitado’ desde cualquier parte del mundo. Al responder a los mensajes entrantes de WhatsApp con una payload -o carga útil- de un servidor de comando y control (C&C), este método podría permitir a los ciberdelincuentes distribuir ataques de phishing, propagar malware adicional difundir información falsa o robar credenciales y datos bancarios, así como tener acceso a las conversaciones de los usuarios”, advirtieron desde Check Point Research (CPR).
En el último año, los investigadores de CPR han observado un aumento del número de ataques relacionados con los dispositivos móviles y de nuevos métodos de ataque. Desde un nuevo malware encontrado en Google Play, hasta una investigación que desvela el APT iraní Rampant Kitten, el panorama de las amenazas móviles está en constante crecimiento.
“A medida que el panorama de los ciberataques a los dispositivos móviles evoluciona, los ciberdelincuentes buscan siempre desarrollar nuevas técnicas para transformar y distribuir con éxito programas maliciosos. En el caso de esta última acción, los investigadores de Check Point han descubierto una nueva e innovadora amenaza maliciosa en la tienda de aplicaciones de Google Play que se propaga a través de las conversaciones de WhatsApp móvil, y que también puede enviar más ciberataques a través de respuestas automáticas a los mensajes de WhatsApp entrantes”, agregaron los especialistas en seguridad informática.
FlixOnline es una aplicación que ofrece un servicio falso. Como un tentador anzuelo, argumenta que permite a los usuarios ver contenidos de Netflix de todo el mundo en sus teléfonos móviles. “Sin embargo, en realidad la aplicación está diseñada para monitorizar las notificaciones de WhatsApp del propietario y enviar respuestas automáticas a los mensajes entrantes del mismo, utilizando el contenido que recibe por medio de un servidor remoto de comando y control”, sostuvieron desde CPR.
Riesgos de una aplicación maliciosa
-Propagar malware adicional a través de enlaces maliciosos.
-Robar datos de las cuentas de WhatsApp de los usuarios.
-Difundir mensajes falsos o maliciosos a los contactos y grupos de WhatsApp de los usuarios (por ejemplo, grupos relacionados con el trabajo).
Cómo funciona el malware
Cuando la aplicación se descarga del Play Store y se instala, ésta solicita permisos de ‘Superposición’, para ‘Ignorar Optimización de la Batería’ y ‘Notificación’. Los propósitos detrás de la obtención de dichos permisos es que la app maliciosa cree nuevas ventanas encima de otras aplicaciones (con el objetivo de robar las credenciales de la víctima); mientras que ignorar las optimizaciones de la batería evita que el malware se apague por la propia rutina de la misma, incluso después de estar inactivo durante un período prolongado.
“El permiso más destacado es el acceso a las notificaciones, más concretamente, al servicio Notification Listener. Una vez habilitado, este permiso proporciona al malware acceso a todas las notificaciones relacionadas con los mensajes enviados al dispositivo, y la capacidad de realizar automáticamente acciones designadas como ‘descartar’ y ‘responder’ a los mismos”, se explayaron.
El problema es que, en caso de conceder estos permisos, el malware tiene todo lo que necesita para empezar a distribuir sus payloads maliciosos y emitir respuestas autogeneradas a los mensajes entrantes de WhatsApp. Y a través de esto, es posible robar datos, causar interrupciones en grupos de chat e incluso extorsionar enviando datos sensibles a todos los contactos del usuario.
“Se trata de una técnica de malware bastante nueva e innovadora, que consiste en secuestrar la conexión a WhatsApp capturando las notificaciones, junto con la posibilidad de realizar acciones predefinidas, como ‘descartar’ o ‘responder’ a través del gestor de notificaciones. El hecho de que el software malicioso haya podido camuflarse con tanta facilidad y, en última instancia, eludir las protecciones de Play Store, dispara serias alarmas. Aunque hemos podido detener una campaña, es probable que esta familia de malware haya llegado para quedarse y puede volver a esconderse en una aplicación diferente”, destacó el Country Manager para la Región Norte de América Latina de Check Point, Antonio Amador.
“Para evitar que estos ataques tengan éxito, los usuarios deben desconfiar de los enlaces de descarga o los archivos adjuntos que reciban a través de WhatsApp u otras aplicaciones de mensajería, incluso cuando parezcan proceder de contactos o grupos de confianza. Si crees que eres una víctima, elimina inmediatamente la aplicación del dispositivo, y cambia todas las contraseñas”, concluyó.
Consejos de seguridad para usuarios de Android
-Instalar una solución de seguridad en el dispositivo.
-Descargar aplicaciones sólo de los mercados oficiales.
-Mantener el dispositivo y las aplicaciones actualizadas.