Check Point Research (CPR) は、無料の Netflix プレミアム サブスクリプションを提供すると約束してユーザーを騙す、新しい Android マルウェアを発見しました。問題のマルウェアは「 Flix Online 」と呼ばれるアプリで、ストリーミングサービスの正規版を装ったものです。実際には、機密情報を盗み、WhatsApp を制御するために必要なシステム権限を取得しようとしています。
「世界中で無制限のエンターテイメント」を提供していたこの詐欺アプリは、Android マルウェアであることが判明した後、最近 Play ストアから削除されました。ただし、利用可能である間、500 回以上ダウンロードされました。しかし、これだけではありません。セキュリティ会社CPRによると、この脅威が再発する可能性があるという。
Netflix も、コロナウイルスのパンデミックに後押しされ、 2 億人を超える加入者数で 2020 年を終えました。この多数の有料ユーザーは、悪意のあるキャンペーンを開始するための新たな被害者を探しているこれらのサイバー犯罪者や他のサイバー犯罪者にとって興味深いようです。
最新の Android マルウェアはどのように機能するのでしょうか?
インストール後、Netflix アプリを装った Android マルウェアは、目的の達成に役立つ一連の許可を要求します。
- オーバーレイ許可– 他のアプリケーション ウィンドウを「オーバーレイ」して、ログイン資格情報やその他の機密情報を盗むことができます。
- バッテリーの最適化を無視する機能– 省電力が有効になっているときに Android がマルウェアをシャットダウンできないようにします。
- 通知の読み取りと書き込みへのアクセス: WhatsApp チャットなどの通知を制御する機能を獲得します。
Android マルウェアが WhatsApp を制御すると、リモート コマンド アンド コントロール (C&C) サーバーから受信したコンテンツを受信メッセージに返信できます。チェック・ポイントによって特定された応答の 1 つは次のとおりです。
「隔離(コロナウイルス)のため、Netflix プレミアムを 2 か月間無料でご利用いただけます* 60 日間、世界中のどこでも Netflix プレミアムを 2 か月間無料でご利用いただけます。ここ https://bit[.]ly/3bDmzUw から今すぐ入手してください。」
Zdnetによると、 「Get it here」リンクにより、被害者は偽の Netflix Web サイトに誘導されます。そこで彼らは、クレジット カードを盗むことを目的として、ユーザーを再びだましてクレジット カードの詳細を入力させようとします。さらに、ランディング ページは攻撃者によって変更される可能性があるため、メッセージが他の詐欺キャンペーンや新しい Android マルウェアにつながる可能性があります。
この件に関して行動を起こした
Check Point は Android マルウェアについて Google に通知しました。一方、 Mountain View の巨人は、問題のアプリケーションを Play ストアからすでに削除しました。同様に、サイバーセキュリティ会社は、WhatsAppの開発者であるFacebookにも、メッセージングサービスには脆弱性がないため、現時点では何の措置も講じられていないと通知した。
参考資料一覧
- https://research.checkpoint.com/2021/new-wormable-android-malware-spreads-by-creating-auto-replies-to-messages-in-whatsapp/
- https://www.zdnet.com/article/new-android-malware-poses-as-netflix-to-hijack-whatsapp-sessions/