NewsTecnologia

FlixOnline: 2 mesi gratis di Netflix. Ma è un malware Android che spia Whatsapp

La società di sicurezza Check Point Research ha scoperto una nuova variante di un malware per Android che si nasconde all’interno di un’app che cerca di attirare utenti promettendo e promuovendo abbonamenti Netflix gratuiti. Il malware una volta entrato in funzione prende di mira l’applicazione di messaggista WhatsApp, intercettando messaggi e comunicazioni.

L’applicazione incriminata, FlixOnline, prometteva due mesi di abbonamento Netflix premium gratuiti come “regalo” per superare i momenti di lockdown dovuti alla pandemia COVID-19. Quando l’applicazione viene installata un primo campanello d’allarme che dovrebbe richiamare l’attenzione dell’utente è la richiesta di alcune autorizzazioni inconsuete e di ignorare il meccanismo di ottimizzazione della batteria, che impedisce al dispositivo di chiudere automaticamente un’app allo scopo di risparmiare energia. L’applicazione chiede anche l’accesso alle notifiche di Whatsapp e la possibilità di ignorareo rispondere ai messaggi.

Questo perché una volta che il malware viene installato, la sua attività è tutta volta ad ascoltare le comunicazioni WhatsApp, rispondendo automaticamente ai messaggi in arrivo per inviare al mittente contenuti dannosi. In particolare Check Point Research evidenzia che il malware invia il messaggio:

“2 Months of Netflix Premium Free at no cost For REASON OF QUARANTINE (CORONA VIRUS)* Get 2 Months of Netflix Premium Free anywhere in the world for 60 days. Get it now HERE https://bit[.]ly/3bDmzUw.”

Sfruttando questa tecnica il malware può quindi propagarsi in altri dispositivi tramite collegamenti dannosi, intercettare e sottrarre informazioni dalle conversazioni WhatsApp e diffondere contenuti dannosi o informazioni false tramite lo stesso servizio di messaggistica. Il problema interessa, come detto, i dispositivi Android.

Il collegamento presente nel messaggio porta le vittime verso un sito web Netflix fasullo che cerca di ottenere le credenziali dell’utente e le informazioni della carta di credito. I ricercatori sottolineano però che il messaggio viene recuperato da un server di comando e controllo e per questo motivo altre campagne potrebbero collegarsi a diversi siti Web a scopi di phishing o di consegna di payload dannosi.

Prima che FlixOnline venisse rilevato è riuscito a colpire circa 500 vittime in due mesi di attività. Check Point Research ha informato Google, e l’app è stata rimossa dal Play Store ma non è da escludere che il malware possa tornare ad apparire in altre forme. Anche Whatsapp è stata avvertita della situazione, ma dato che il problema non sfrutta alcuna vulnerabilità propria dell’applicazione di messaggistica, la notifica è solo “per conoscenza”.