Un gruppo di ricercatori californiani ha scoperto una nuova e innovativa minaccia malware wormable in Google Play Store (ora sradicata) che si diffondeva tramite le conversazioni WhatsApp degli utenti mobili e che era anche capace di inviare ulteriori contenuti malevoli attivando risposte automatiche ai messaggi in arrivo.
Con questo metodo, particolare nel suo genere, gli attori criminali avrebbero potuto sferrare attacchi di phishing, diffondere informazioni false e carpire credenziali e dati dagli account WhatsApp delle ignare vittime.
L’offerta ingannevole
Il malware nascosto all’interno di un’app su Google Play chiamata “FlixOnline” si presentava come un servizio legittimo che pretendeva di consentire agli utenti di visualizzare i contenuti di Netflix sui propri cellulari, ma che in realtà una volta installato monitorava le notifiche WhatsApp dell’utente colpito per inviare in automatico ai suoi contatti risposte veicolanti il payload (ricevuto da un server di comando e controllo C2 remoto) propinando l’offerta di un servizio gratuito:
“2 Months of Netflix Premium Free at no cost For REASON OF QUARANTINE (CORONA VIRUS)* Get 2 Months of Netflix Premium Free anywhere in the world for 60 days. Get it now HERE https://bit[.]ly/3bDmzUw”
Il collegamento in formato short in realtà indirizzava verso una falsa landing page richiedente le credenziali Netflix e i dati della carta di credito associata, tutte informazioni che sarebbero state prontamente trasmesse al server C2 presidiato da remoto.
Le autorizzazioni richieste dal malware
Quando l’applicazione veniva scaricata dal Play Store e installata, il malware avviava dapprima una richiesta di autorizzazioni per consentire l’overlay, ignorare i processi di ottimizzazione della batteria e ottenere l’accesso alle notifiche per riuscire, così, in modo ingannevole a:
- creare false schermate di login da sovrapporre a quelle di altre applicazioni eventualmente in esecuzione per rubare le credenziali del target;
- impedire la disattivazione dell’app e quindi l’operatività del malware da parte dei controlli di ottimizzazione della batteria del dispositivo;
- fornire al malware l’accesso a tutte le notifiche (“Notification Listener”) consentendo anche la capacità di ignorare o rispondere in autonomia ai messaggi ricevuti sul dispositivo.
La configurazione C2
L’app malevola, subito dopo l’avvenuta installazione, riusciva a garantire ciclicamente un contatto con il server C2 e degli aggiornamenti compromettendo, con un certo grado di persistenza, anche la fase di avvio (“BOOT_COMPLETED”) del dispositivo mobile infettato.
Il record di configurazione inviato dal server C2 prevedeva nei suoi campi indicativamente le seguenti informazioni:
- l’URL da mostrare alla vittima dopo la concessione dell’autorizzazione (landing_page);
- il messaggio da inviare come risposta a tutti i messaggi in arrivo (messaggio_inbox);
- un “limite massimo” per la quantità di messaggi da inviare (message_limit);
- il ritardo da impostare per mostrare il popup di un URL specifico (delay_browser);
- un Flag di controllo C2 (enable_browser);
- l’indicazione di quale applicazione utilizzare per aprire l’URL (enable_webview);
- l’URL da aprire via popup WebView (webview_url);
- l’URL da aprire via popup browser (browser_url).
Una volta completata la fase di configurazione l’algoritmo prevedeva di procedere al monitoraggio delle notifiche WhatsApp, elaborarle e nasconderle all’utente e infine inviare le risposte veicolanti il carico utile sfruttando la “Notification Direct Reply” ovvero una componente legittima di Android che consente di rispondere in modo diretto ai messaggi di notifica.
Conclusioni
Sebbene Google, dopo essere stata informata dai ricercatori in modo responsabile riguardo a questa minaccia, abbia rimosso rapidamente l’applicazione dal Play Store, l’app “FlixOnline” ha comunque registrato nei due mesi precedenti all’alert circa 500 download.
In considerazione di ciò e poiché con questa tecnica che potrebbe essere ripresa e perfezionata da altri gruppi criminali, si potrebbero eseguire diverse attività nocive quali diffondere ai contatti delle vittime messaggi arbitrari e/o ulteriori malware tramite link, anche a scopo estorsivo, chiunque non lo avesse ancora fatto dovrebbe rimuovere quanto prima l’applicazione dal proprio dispositivo e valutare la necessità di modificare e revisionare le proprie password.
Di seguito gli indici di compromissione del campione esaminato
App “FlixOnline”, 1d097436927f85b1ab9bf69913071abd0845bfcf1afa186112e91e1ca22e32df
Server C2, netflixwatch[.]site
Package Name, com.fab.wflixonline
Certificate, BEC2C0448558729C1EDF4E45AB76B6A3EE6E42B7
