对WhatsApp中消息自动回复的Android恶意软件分析

[[393800]]

0x01 基础概述

我们最近在Google Play上发现了隐藏在伪造应用程序中的恶意软件，该软件能够通过用户的WhatsApp消息进行传播。如果用户下载了伪造的应用程序并在不经意间授予了恶意软件适当的权限，则该恶意软件能够使用从命令和控制(C&C)服务器接收到的有效负载自动回复受害者的WhatsApp消息。这种独特的方法可能使攻击者能够进行网络钓鱼攻击，散布虚假信息或从用户的WhatsApp帐户中窃取凭据和数据等等。

随着移动威胁形势的发展，攻击者一直在寻求开发新技术以发展和成功分发恶意软件。在此特定活动中，我们的研究人员在Google Play应用商店中发现了一种新颖的创新恶意威胁，该威胁通过移动用户的WhatsApp对话传播，并且还可以通过自动回复传入的WhatsApp消息来发送进一步的恶意内容。

研究人员发现该恶意软件隐藏在Google Play上名为“ FlixOnline”的应用程序中。该应用程序是一项伪造服务，声称允许用户在其手机上查看来自世界各地的Netflix内容。但是，该应用程序实际目的为监视用户的WhatsApp通知，并使用从远程命令和控制(C&C)服务器接收的内容向用户的传入消息发送自动回复，而不是允许移动用户查看Netflix内容 。

该恶意软件向受害者发送以下响应，诱使提供免费的Netflix服务：

“免费提供2个月的Netflix Premium免费服务，在世界任何地方均可获得2个月的Netflix Premium免费服务。在这里立即获取： [https：// bit 。] ly / 3bDmzUw。”

利用这种技术，攻击者可以执行各种恶意活动：

• 通过恶意链接传播更多恶意软件
•  从用户的WhatsApp帐户中窃取数据
•  将虚假或恶意消息传播到用户的WhatsApp联系人和组
•  通过威胁向其所有联系人发送敏感的WhatsApp数据或对话来勒索用户

图1 – Google Play上的FlixOnline应用程序

0x02 技术分析

从Play商店下载并安装该应用程序后，该恶意软件会启动一项服务，该服务请求“覆盖窗口”，“电池优化忽略”和“获取通知信息”权限。获得这些权限的目的是：

•  覆盖窗口允许恶意应用程序在其他应用程序之上创建新窗口。恶意软件通常会要求这样做，以便为其他应用程序创建伪造的“登录”屏幕，目的是窃取受害者的凭据。
•  忽略电池优化可以阻止恶意软件被设备的电池优化例程关闭，即使闲置了很长时间也是如此。
•  最显着的权限是“通知”访问权限，更具体地说是“通知监听器”服务。启用后，此权限使恶意软件可以访问与发送到设备的消息相关的所有通知，并具有自动执行指定操作(例如对设备上收到的消息进行“关闭”和“回复”)的功能。
  

图2 – FlixOnline权限请求

授予权限后，该恶意软件会显示它从C&C服务器接收到的登录页面，并立即隐藏其图标，因此无法轻松删除该恶意软件。这是通过定期与C&C联系并相应更新恶意软件配置的服务来完成的。该服务可以通过使用多种方法来实现这些目标。例如，可以通过安装应用程序以及在BOOT_COMPLETED操作中注册的警报来触发该服务，该操作在设备完成启动过程之后被调用。

图3和图4 –服务注册，BOOT_COMPLETE

来自C&C的响应包含具有以下字段的配置：

图5 –C&C通信和配置解析

完成此操作后，恶意软件便具有分发有效负载所需的一切。通过OnNotificationPosted回调，恶意软件检查原始应用程序的程序包名称，如果该应用程序是WhatsApp，它将处理通知。

图5 –检查WhatsApp通知

首先，恶意软件取消通知以将其隐藏给用户，并读取接收到的通知的标题和内容。接下来，它搜索负责内联答复的组件，该组件用于使用从C&C服务器接收到的有效负载发送答复。

图6 –通知处理

图7 –搜索内联回复组件

图8 –发送回复

0x03 分析总结

我们负责地将有关恶意应用程序及其研究细节的信息通知了Google，Google迅速从Play商店中删除了该应用程序。在2个月的时间里，“ FlixOnline”应用程序被下载了大约500次。

这种可感染蠕虫的Android恶意软件具有创新和危险的新技术，它们可以自行传播，以及从WhatsApp等受信任的应用程序中操纵或窃取数据。需要注意，即使用户似乎来自受信任的联系人或消息传递组，用户也应警惕通过WhatsApp或其他消息传递应用程序收到的下载链接或附件。如果用户被感染，则应从设备中删除该应用程序，然后更改其密码。

0x04 IOCs

FlixOnline – 1d097436927f85b1ab9bf69913071abd0845bfcf1afa186112e91e1ca22e32df

C&C – netflixwatch[.]site

软件包名称– com.fab.wflixonline

证书– BEC2C0448558729C1EDF4E45AB76B6A3EE6E42B7

本文翻译自：https://research.checkpoint.com/2021/new-wormable-android-malware-spreads-by-creating-auto-replies-to-messages-in-whatsapp/如若转载，请注明原文地址。