WhatsApp-basierte, wurmfähige Android-Malware im Google Play Store gesichtet

Cyber Security News

Cybersecurity-Forscher haben ein weiteres Stück wurmfähiger Android-Malware entdeckt, das sich über WhatsApp-Nachrichten verbreiten kann – dieses Mal jedoch direkt aus dem offiziellen Google Play Store heruntergeladen werden kann.

Getarnt als bösartige Netflix-App unter dem Namen “FlixOnline” verfügt die Malware über Funktionen, die es ihr ermöglichen, automatisch auf eingehende WhatsApp-Nachrichten eines Opfers mit einer Nutzlast zu antworten, die sie von einem Command-and-Control-Server (C&C) erhalten hat.

“Die Anwendung ist tatsächlich so konzipiert, dass sie die WhatsApp-Benachrichtigungen des Benutzers überwacht und automatische Antworten auf die eingehenden Nachrichten des Benutzers mit Inhalten sendet, die sie von einem entfernten C&C-Server erhält”, so die Forscher von Check Point in einer heute veröffentlichten Analyse.

[Blocked Image: https://thehackernews.com/images/-P7kvKFVSqWU/YGXEz3gk_tI/AAAAAAAA3uY/qiCyRaK_IA07iGtzVQCOTsnjHTYGR_gKgCLcBGAsYHQ/s728-e100/thn-728-2.png]

Die bösartige App “FlixOnline” gibt sich nicht nur als Netflix-App aus, sondern fordert auch aufdringliche Berechtigungen an, die es ihr ermöglichen, gefälschte Anmeldebildschirme für andere Apps zu erstellen, mit dem Ziel, Anmeldeinformationen zu stehlen und Zugriff auf alle auf dem Gerät empfangenen Benachrichtigungen zu erlangen, um damit WhatsApp-Benachrichtigungen vor dem Benutzer zu verbergen und automatisch mit einer speziell gestalteten Nutzlast zu antworten, die vom C&C-Server empfangen wurde.

“Die Technik der Malware ist ziemlich neu und innovativ”, sagt Aviran Hazum, Manager of Mobile Intelligence bei Check Point. “Die Technik besteht hier darin, die Verbindung zu WhatsApp zu kapern, indem sie Benachrichtigungen abfängt, zusammen mit der Möglichkeit, vordefinierte Aktionen wie ‘Ablehnen’ oder ‘Antworten’ über den Benachrichtigungsmanager auszuführen.”

[Blocked Image: https://thehackernews.com/images/-sQGM1NSomBs/YG2IzZ5tqVI/AAAAAAAACMc/HHrMKaqQc1MTW8N1IsZaz4kfm_E4dqgvwCLcBGAsYHQ/s0/hacking-netflix.jpg]

Bei einer erfolgreichen Infektion kann sich die Malware über bösartige Links weiter verbreiten, Daten aus den WhatsApp-Konten der Benutzer stehlen, bösartige Nachrichten an die WhatsApp-Kontakte und -Gruppen der Benutzer verbreiten und sogar Benutzer erpressen, indem sie mit der Preisgabe sensibler WhatsApp-Daten oder Unterhaltungen drohen.

Die App wurde inzwischen aus dem Play Store entfernt, aber nicht bevor sie im Laufe von zwei Monaten insgesamt 500 Downloads verzeichnete.

FlixOnline ist auch das zweite Mal, dass eine bösartige App erwischt wurde, die WhatsApp zur Verbreitung von Malware nutzt. Im Januar 2021 enthüllte der ESET-Forscher Lukas Stefanko eine gefälschte Huawei Mobile-App, die denselben Modus Operandi für den Wurmangriff verwendete.

[Blocked Image: https://thehackernews.com/images/-CTf1MSwldzQ/YGXEz6LA-PI/AAAAAAAA3uc/rCPCs1B8hBI5fgrMcRZGit_0hHWFhVsBQCLcBGAsYHQ/s728-e100/thn-728-3.png]

Darüber hinaus ist die Meldung, die den Benutzern beim Öffnen der Apps angezeigt wird, dieselbe – “Wir benötigen Ihre Erlaubnis, um auf die Anwendung zuzugreifen. Es wird der App (sic) helfen, eine bessere Funktionalität zu bieten” – was darauf hindeutet, dass die beiden Apps entweder das Werk desselben Angreifers sein könnten oder dass die Autoren von FlixOnline sich von der Huawei Mobile-App inspirieren ließen.

“Die Tatsache, dass die Malware so einfach getarnt werden konnte und letztendlich die Schutzmechanismen des Play Stores umgehen konnte, wirft einige ernsthafte Fragen auf”, sagte Hazum. “Obwohl wir eine Kampagne der Malware gestoppt haben, bleibt die Malware-Familie wahrscheinlich bestehen. Die Malware könnte in einer anderen App versteckt zurückkehren.”

“Benutzer sollten bei Download-Links oder Anhängen, die sie über WhatsApp oder andere Messaging-Apps erhalten, vorsichtig sein, selbst wenn sie scheinbar von vertrauenswürdigen Kontakten oder Messaging-Gruppen stammen”, so Hazum weiter.

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com