0x01基本概述我们最近发现隐藏在GooglePlay假冒应用程序中的恶意软件能够通过用户的WhatsApp消息传播。如果用户下载虚假应用程序并无意中授予恶意软件适当的权限,则恶意软件能够使用从命令和控制(C&C)服务器接收到的有效载荷自动回复受害者的WhatsApp消息。这种独特的方法可能允许攻击者进行网络钓鱼攻击、传播虚假信息或从用户的WhatsApp帐户窃取凭据和数据等。随着移动威胁形势的发展,攻击者一直在寻求开发新技术来开发和成功分发恶意软件。在此特定活动中,我们的研究人员在GooglePlay应用商店中发现了一种新颖的创新恶意威胁,它通过移动用户的WhatsApp对话传播,还可以通过自动回复传入的WhatsApp消息来发送更多消息。恶意内容。研究人员发现该恶意软件隐藏在GooglePlay上名为“FlixOnline”的应用程序中。该应用程序是一项虚假服务,声称允许用户在手机上查看来自世界各地的Netflix内容。然而,该应用程序的实际目的是监控用户的WhatsApp通知,并使用从远程命令和控制(C&C)服务器接收的内容自动回复用户的传入消息,而不是允许移动用户查看Netflix内容。该恶意软件通过发送以下响应来引诱受害者提供免费的Netflix:“2个月的NetflixPremium免费,在世界任何地方获得2个月的NetflixPremium。现在就在这里获取它:[https://bit.]ly/3bDmzUw.“使用这种技术,攻击者可以执行各种恶意活动:通过恶意链接传播更多恶意软件从用户的WhatsApp帐户窃取数据向用户的WhatsApp联系人和群组传播虚假或恶意消息向所有人发送威胁联系人发送敏感的WhatsApp数据或与勒索用户的对话图1–GooglePlay上的FlixOnline应用程序0x02技术分析从Play商店下载并安装该应用程序后,恶意软件会启动一项服务,请求“覆盖窗口”、“电池优化忽略”和“获取通知信息”权限。这些权限的目的是:覆盖窗口允许恶意应用程序在其他应用程序之上创建新窗口。恶意软件经常要求这样做,以便应用程序创建虚假的“登录”屏幕,目的是窃取受害者的凭据。忽略电池优化可防止恶意软件被设备的电池优化例程关闭,即使在长时间不活动后也是如此。最值得注意的权限是“通知”访问,更具体地说是“通知侦听器”服务。启用后,此权限允许恶意软件访问与发送到设备的消息相关的所有通知,并能够自动执行指定的操作(例如如图2–FlixOnline权限请求一旦授予权限,恶意软件就会显示从C&C服务器收到的登录页面,并立即隐藏其图标,因此无法轻易删除恶意软件。这是通过定期联系C&C的服务完成的并相应地更新恶意软件配置。服务可以通过使用多种方法来实现这些目标。例如,可以通过安装应用程序并注册BOOT_COMPLETED操作警报来触发服务,该服务在设备完成后调用启动过程。图3和图4–服务注册,BOOT_COMPLETE来自C&C的响应包含配置wi以下字段:图5–C&C通信和配置解析此操作完成后,恶意软件拥有分发其有效载荷所需的一切。通过OnNotificationPosted回调,恶意软件检查原始应用程序的包名称,如果该应用程序是WhatsApp,它会处理通知。图5–检查WhatsApp通知首先,恶意软件关闭通知以向用户隐藏它,并读取收到的通知的标头和内容。接下来,它搜索负责内联回复的组件,该组件用于发送回复以及从C&C服务器收到的有效负载。图6-通知处理图7-搜索内联回复组件图8-发送回复0x03分析摘要我们负责任地向谷歌通报了恶意应用程序及其研究细节,谷歌立即从Play商店中删除了该应用程序。在2个月的时间里,“FlixOnline”应用程序被下载了大约500次。这种可蠕虫感染的Android恶意软件具有创新和危险的新技术来传播自身,以及操纵或窃取来自WhatsApp等受信任应用程序的数据。重要的是要注意,用户应该警惕通过WhatsApp或其他消息传递应用程序收到的下载链接或附件,即使它们看起来来自受信任的联系人或消息传递组。如果用户被感染,则应从设备中删除该应用程序并更改其密码。0x04IOCsFlixOnline–1d097436927f85b1ab9bf69913071abd0845bfcf1afa186112e91e1ca22e32dfC&C–netflixwatch[.]site软件包名称–com.fab.wflixonline证书–BEC2C0448558729C1EDF4E45AB76B6A3EE6E42B7本文翻译自:https://research.checkpoint.com/2021/new-wormable-android-malware-spreads-by-creating-auto-replies-to-messages-in-whatsapp/如有转载请注明出处。
