Gefälschte Netflix-App auf Google Play verbreitet Malware über WhatsApp

Cyber Security News

Die wurmfähige Malware verbreitete sich von Android zu Android, indem sie Nachrichten verschickte, die kostenloses Netflix Premium für 60 Tage anboten.

Als Netflix-App getarnte Malware, die im Google Play Store lauerte, verbreitete sich über WhatsApp-Nachrichten, wie Forscher herausgefunden haben.

Laut einer am Mittwoch veröffentlichten Analyse von Check Point Research tarnte sich die Malware als eine App namens “FlixOnline”, die über WhatsApp-Nachrichten mit dem Versprechen “2 Monate Netflix Premium Free Anywhere in the World für 60 Tage” warb. Doch einmal installiert, macht sich die Malware daran, Daten und Anmeldeinformationen zu stehlen.

Die Malware war so konzipiert, dass sie auf eingehende WhatsApp-Nachrichten lauschte und automatisch auf alle Nachrichten antwortete, die die Opfer erhielten, wobei der Inhalt der Antwort von den Angreifern gestaltet wurde. Die Antworten versuchten, andere mit dem Angebot eines kostenlosen Netflix-Dienstes zu ködern, und enthielten Links zu einer gefälschten Netflix-Website, die nach Anmeldeinformationen und Kreditkarteninformationen fischte, so die Forscher.

“Die App entpuppte sich als gefälschter Dienst, der behauptet, den Benutzern zu ermöglichen, Netflix-Inhalte aus der ganzen Welt auf ihren Mobiltelefonen anzusehen”, so die Analyse. “Anstatt jedoch dem mobilen Benutzer zu ermöglichen, Netflix-Inhalte anzusehen, ist die Anwendung in Wirklichkeit dafür ausgelegt, die WhatsApp-Benachrichtigungen eines Benutzers zu überwachen und automatische Antworten auf die eingehenden Nachrichten eines Benutzers zu senden, wobei sie Inhalte verwendet, die sie von einem Remote-Server erhält.”

[Blocked Image: https://alltechnews.de/daten/2021/04/Gefaelschte-Netflix-App-auf-Google-Play-verbreitet-Malware-ueber-WhatsApp.png]

Die gefälschte App in Google Play, mit dem Netflix-Logo. Quelle: Check Point.

Die Malware war auch in der Lage, sich selbst zu verbreiten, indem sie Nachrichten an die WhatsApp-Kontakte und -Gruppen der Benutzer mit Links zu der gefälschten App sendete. Zu diesem Zweck lauteten die automatisierten Nachrichten: “2 Monate Netflix Premium kostenlos aus Gründen der QUARANTÄNE (CORONA VIRUS)* Holen Sie sich 2 Monate Netflix Premium kostenlos überall auf der Welt für 60 Tage. Holen Sie es sich jetzt HIER [Bitly link].”

Im Laufe der zwei Monate, in denen die App bei Google Play aktiv war, hat die Malware laut Check Point 500 Opfer angehäuft. Die Firma alarmierte Google über die Malware, die die App herunternahm. Allerdings, “die Malware-Familie ist wahrscheinlich hier zu bleiben und kann in einer anderen App versteckt zurückkehren,” Forscher gewarnt.

“Die Technik der Malware ist ziemlich neu und innovativ”, so Aviran Hazum, Manager of Mobile Intelligence bei Check Point, in der Analyse. “Die Technik besteht darin, die Verbindung zu WhatsApp zu kapern, indem Benachrichtigungen abgefangen werden, zusammen mit der Möglichkeit, vordefinierte Aktionen wie ‘Ablehnen’ oder ‘Antworten’ über den Notification Manager auszuführen. Die Tatsache, dass die Malware so einfach getarnt werden konnte und letztendlich die Schutzmechanismen des Play Stores umgehen konnte, wirft einige ernsthafte Fragen auf.”

FlixOnline fängt WhatsApp-Benachrichtigungen ab

Sobald die Anwendung aus dem Play Store heruntergeladen und installiert ist, fordert sie laut der Check-Point-Analyse drei bestimmte Berechtigungen an: Overlay, Batterie-Optimierung ignorieren und Benachrichtigungs-Listener.

Overlay erlaubt es einer bösartigen Anwendung, neue Fenster über anderen Anwendungen zu erstellen, so die Forscher.

“Dies wird in der Regel von Malware angefordert, um einen gefälschten Anmeldebildschirm für andere Apps zu erstellen, mit dem Ziel, die Anmeldedaten des Opfers zu stehlen”, erklärten sie.

Die Berechtigung “Ignore Battery Optimizations” verhindert unterdessen, dass die Malware heruntergefahren wird, wenn das Telefon in den Ruhezustand geht, wie es Android-Apps normalerweise tun, um Akkustrom zu sparen. Dadurch konnte die “FlixOnline”-App kontinuierlich arbeiten, zuhören und gefälschte Nachrichten im Hintergrund senden, auch wenn das Telefon inaktiv ist.

Am wichtigsten ist, dass die Berechtigung “Notification Listener” der Malware erlaubt, auf alle Benachrichtigungen zuzugreifen, die sich auf die an das Gerät gesendeten Nachrichten beziehen, mit “der Fähigkeit, automatisch bestimmte Aktionen wie ‘Ablehnen’ und ‘Antworten’ auf die auf dem Gerät empfangenen Nachrichten durchzuführen”, so Check Point.

Nachdem die Berechtigungen erteilt wurden, zeigt die Malware eine Landing Page an, die sie vom Command-and-Control-Server (C2) erhält, und sie löscht ihr Symbol vom Startbildschirm. Von dort aus pingt sie den C2 regelmäßig an, um Konfigurationsupdates zu erhalten.

“Der Dienst kann diese Ziele mit mehreren Methoden erreichen”, heißt es in der Analyse. “Beispielsweise kann der Dienst durch die Installation der Anwendung und durch einen als BOOT_COMPLETED-Aktion registrierten Alarm ausgelöst werden, der aufgerufen wird, nachdem das Gerät den Bootvorgang abgeschlossen hat.”

Wenn es darum geht, die WhatsApp-Nachrichten zu analysieren, verwendet die Malware eine Funktion namens OnNotificationPosted, um nach dem Paketnamen der Anwendung zu suchen, die eine bestimmte Benachrichtigung erstellt. Wenn es sich bei dieser Anwendung um WhatsApp handelt, wird die Malware laut Check Point die Benachrichtigung “verarbeiten”. Das besteht darin, die Benachrichtigung abzubrechen (um sie vor dem Benutzer zu verbergen) und dann den Titel und den Inhalt der erhaltenen Benachrichtigung zu lesen.

“Als Nächstes sucht sie nach der Komponente, die für Inline-Antworten zuständig ist, mit der die Antwort unter Verwendung der vom C2-Server erhaltenen Nutzlast versendet wird”, erklären die Forscher.

Mit Malware verseuchte Apps bei Google Play

Der offizielle Android-App-Store ist leider kein Unbekannter für bösartige und trojanisierte Apps. Im März wurden beispielsweise neun bösartige Apps auf Google Play gefunden, die einen Malware-Dropper enthielten, der Angreifern den Weg zum Fernzugriff auf Finanzdaten von Android-Telefonen ebnete. Und im Januar bootete Google 164 Apps, die insgesamt 10 Millionen Mal heruntergeladen wurden, weil sie störende Werbung lieferten.

Währenddessen plagte im vergangenen Jahr die Joker-Malware weiterhin Google Play-Apps. Joker, den es seit 2017 gibt, ist ein mobiler Trojaner, der sich auf eine Art von Abrechnungsbetrug spezialisiert hat, die als “Fleeceware” bekannt ist. Die Joker-Apps geben sich als legitime Apps aus (hauptsächlich Spiele, Wallpaper, Messenger, Übersetzer und Fotobearbeitungsprogramme). Einmal installiert, simulieren sie Klicks und fangen SMS-Nachrichten ab, um die Opfer für unerwünschte, kostenpflichtige Premium-Dienste zu abonnieren. Die Apps stehlen auch SMS-Nachrichten, Kontaktlisten und Geräteinformationen.

Wie können sich Android-Nutzer schützen?

Um sich vor dieser Art von Malware zu schützen, sollten Nutzer bei Download-Links oder Anhängen, die sie über WhatsApp oder andere Messaging-Apps erhalten, vorsichtig sein, auch wenn sie scheinbar von vertrauenswürdigen Kontakten oder Messaging-Gruppen stammen, so Check Point.

Wenn Benutzer eine gefälschte App erhalten, sollten sie die verdächtige Anwendung sofort von ihrem Gerät entfernen und alle Passwörter ändern.

Haben Sie sich jemals gefragt, was in Untergrundforen für Cyberkriminalität vor sich geht? Finden Sie es am 21. April um 14 Uhr ET bei einer KOSTENLOSEN Veranstaltung von Threatpost heraus: “Underground Markets: A Tour of the Dark Economy”. Experten nehmen Sie mit auf eine Führung durch das Dark Web, einschließlich der Frage, was zum Verkauf steht, wie viel es kostet, wie Hacker zusammenarbeiten und welche neuesten Tools für Hacker verfügbar sind. Registrieren Sie sich hier für die LIVE-Veranstaltung am Mittwoch, 21. April.

Einige Teile dieses Artikels stammen aus:
threatpost.com