Investigadores de Check Point Research ha  descubierto recientemente una nueva amenaza maliciosa en Google Play Store que se propagaba a través de  los mensajes de WhatsApp. El malware estaba diseñado con capacidad para responder automáticamente a  los mensajes entrantes con mensajes provenientes de un servidor remoto en nombre de sus víctimas. CPR  encontró el software malicioso escondido en una aplicación falsa de "Netflix" en Play Store llamada  FlixOnline, que prometía "entretenimiento ilimitado" desde cualquier parte del mundo. 

Al responder a los mensajes entrantes de WhatsApp con una payload o carga útil de un servidor de comando  y control (C&C), este método podría permitir a los ciberdelincuentes distribuir ataques de phishing, propagar  malware adicional difundir información falsa o robar credenciales y datos bancarios, así como tener acceso a  las conversaciones de los usuarios.  

La seguridad de los dispositivos móviles es una de las principales preocupaciones de las empresas en la  actualidad, y por una buena razón. En el último año, los investigadores de CPR han observado un aumento  del número de ataques relacionados con los dispositivos móviles y de nuevos métodos de ataque. Desde un  nuevo malware encontrado en Google Play, hasta una investigación que desvela el APT iraní Rampant Kitten,  el panorama de las amenazas móviles está en constante crecimiento. 

Un nuevo malware para Android que se propaga a través de respuestas automáticas de WhatsApp 

A medida que el panorama de los ciberataques a los dispositivos móviles evoluciona, los ciberdelincuentes  buscan siempre desarrollar nuevas técnicas para transformar y distribuir con éxito programas maliciosos. En  el caso de esta última acción, los investigadores de Check Point han descubierto una nueva e innovadora  amenaza maliciosa en la tienda de aplicaciones de Google Play que se propaga a través de las  conversaciones de WhatsApp móvil, y que también puede enviar más ciberataques a través de respuestas  automáticas a los mensajes de WhatsApp entrantes.  

Los investigadores han encontrado el malware escondido dentro de una aplicación que se encuentra en  Google Play llamada 'FlixOnline'". La app es un servicio falso que dice permitir a los usuarios ver contenidos  de Netflix de todo el mundo en sus teléfonos móviles. Sin embargo, en realidad la aplicación está diseñada  para monitorizar las notificaciones de WhatsApp del propietario y enviar respuestas automáticas a los  mensajes entrantes del mismo, utilizando el contenido que recibe por medio de un servidor remoto de  comando y control (C&C). 

Dicho malware enviaba la siguiente respuesta a sus víctimas, atrayéndolas con la oferta de un servicio  gratuito de Netflix: 

©2021 Check Point Software Technologies Ltd. All rights reserved | P. 1 

“2 Months of Netflix Premium Free at no cost For REASON OF QUARANTINE (CORONA VIRUS)* Get 2 Months  of Netflix Premium Free anywhere in the world for 60 days. Get it now HERE https://bit[.]ly/3bDmzUw.”  

"2 Meses de Netflix Premium Gratis Por Motivo de Cuarentena (CORONA VIRUS) * Consigue 2 Meses de  Netflix Premium gratis en cualquier parte del mundo durante 60 días. Consíguelo ahora AQUÍ  https://bit[.]ly/3bDmzUw". 

Mediante esta técnica, un ciberdelincuente podía llevar a cabo una amplia gama de actividades maliciosas: 

? Propagar malware adicional a través de enlaces maliciosos 

? Robar datos de las cuentas de WhatsApp de los usuarios 

? Difundir mensajes falsos o maliciosos a los contactos y grupos de WhatsApp de los usuarios (por  ejemplo, grupos relacionados con el trabajo) 

Cómo funciona el malware  

Cuando la aplicación se descarga de la Play Store y se instala, esta solicita permisos de 'Superposición', para  'Ignorar Optimización de la Batería' y 'Notificación'. El propósito detrás de la obtención de dichos permisos  es: 

1. La superposición permite a una aplicación maliciosa crear nuevas ventanas encima de otras  aplicaciones. Suele solicitarlo el software malicioso para crear una pantalla de "Inicio de sesión" falsa  para otras aplicaciones, con el objetivo de robar las credenciales de la víctima. 

2. Ignorar las optimizaciones de la batería evita que el malware se apague por la propia rutina de la  misma, incluso después de estar inactivo durante un período prolongado. 

3. El permiso más destacado es el acceso a las notificaciones, más concretamente, al servicio  Notification Listener. Una vez habilitado, este permiso proporciona al malware acceso a todas las  notificaciones relacionadas con los mensajes enviados al dispositivo, y la capacidad de realizar  automáticamente acciones designadas como "descartar" y "responder" a los mismos. 

Si se conceden estos permisos, el malware tiene todo lo que necesita para empezar a distribuir sus payloads  maliciosos y emitir respuestas autogeneradas a los mensajes entrantes de WhatsApp, a través de las que es 

©2021 Check Point Software Technologies Ltd. All rights reserved | P. 2 

posible. robar datos, causar interrupciones en grupos de chat e incluso extorsionar enviando datos sensibles  a todos los contactos del usuario. 

CPR ha notificado a Google de la existencia de la aplicación maliciosa y ha compartido los detalles de su  investigación, por lo que la aplicación se ha eliminado rápidamente de la Play Store. En el transcurso de 2  meses, la aplicación "FlixOnline" se ha descargado aproximadamente 500 veces. 

"Se trata de una técnica de malware bastante nueva e innovadora que consiste en secuestrar la conexión a  WhatsApp capturando las notificaciones, junto con la posibilidad de realizar acciones predefinidas, como  'descartar' o 'responder' a través del gestor de notificaciones. El hecho de que el software malicioso haya  podido camuflarse con tanta facilidad y, en última instancia, eludir las protecciones de Play Store, dispara serias alarmas. Aunque hemos podido detener una campaña, es probable que esta familia de malware haya  llegado para quedarse y puede volver a esconderse en una aplicación diferente”, destaca Antonio Amador, Country Manager para la Región Norte de América Latina de Check Point”. “Para evitar que estos ataques  tengan éxito, los usuarios deben desconfiar de los enlaces de descarga o los archivos adjuntos que reciban a  través de WhatsApp u otras aplicaciones de mensajería, incluso cuando parezcan proceder de contactos o  grupos de confianza. Si crees que eres una víctima, elimina inmediatamente la aplicación del dispositivo, y  cambia todas las contraseñas", concluye Nieva. 

Consejos de seguridad para usuarios de Android 

1. Instalar una solución de seguridad en el dispositivo 

2. Descargar aplicaciones sólo de los mercados oficiales  

3. Mantener el dispositivo y las aplicaciones actualizadas 

Check Point Harmony Mobile (anteriormente conocido como SandBlast Mobile) es la solución líder del  mercado de Defensa contra Amenazas Móviles (MTD), que ofrece la más amplia gama de capacidades para  proteger un dispositivo móvil personal. Harmony Mobile proporciona protección para todos los vectores de  ataque móviles, incluyendo la descarga de aplicaciones maliciosas y aplicaciones con malware incrustado.

Origen