HW期间，为防范钓鱼，即日起FreeBuf将取消投稿文章的一切外部链接。给您带来的不便，敬请谅解~

4月7日，Check Point发布分析，一个名为FlixOnline的恶意软件通过WhatsApp进行传播，虚假宣传中恶意软件承诺“在世界上任何地方都可以免费使用两个月的Netflix Premium”，该恶意软件会窃取数据和凭据。

该恶意软件监听传入的WhatsApp消息，攻击者精心设计了对受害者收到任何消息的自动响应内容，自动响应内容会以提供免费的Netflix服务来引诱其他人，其中包含指向伪造的Netflix网站的链接，该网站会窃取用户的凭据和信用卡信息。

应用程序其实并不监视用户的WhatsApp消息，也不会真的让用户可以访问Netflix，而是使用从远程服务器接收的内容向用户的传入消息发送自动答复。

FlixOnline恶意软件还可以将消息发送到用户的WhatsApp联系人和群组进行传播，“因为新冠疫情的大流行，免费提供2个月的Netflix Premium，快点得到它吧”！

该应用程序在Google Play上架了两个月，有超过五百名受害者。在向Google通报了该恶意软件后，已经将其删除，但是研究人员警告说，该恶意软件可能还会隐藏在其他应用程序中。

Check Point的Aviran Hazum表示，该恶意软件的技术是令人眼前一亮的，通过捕获通知来劫持WhatsApp的消息，通过通知管理器执行预定义的操作，例如忽略（dismiss）/回复（reply）。因此该恶意软件绕过了Google Play的检测，这实际上也是一个危险的信号。

拦截通知

从Google Play上下载并安装了应用程序后，会请求Overlay（窗口覆盖）、Battery Optimization Ignore（电池优化忽略）与Notification Listener（通知监听）三项权限。

窗口覆盖权限使恶意软件可以在其他应用程序上创建新窗口，恶意软件通常都会这样做，以便创建虚假的登录页面，窃取受害者的凭据。

电池优化忽略权限可以阻止手机在省电时关闭消息通知，即使手机处于休眠状态恶意软件也会在后台持续运行

通知监听权限使恶意软件可以访问任何发送到设备的消息通知，并自动执行对应的动作

得到权限后，恶意软件会显示从C&C服务器收到的登录页面，并将应用程序从主屏幕上删除，而且定期与C&C服务器进行配置更新。

恶意软件通过注册BOOT_COMPLETED服务，在设备启动后启动该服务完成持久化。恶意软件使用名为OnNotificationPosted的功能检查WhatsApp的通知，其通知消息会被隐藏，用户不可见。接着，恶意软件会使用从C&C服务器接收到的内容进行响应。

Google Play

尽管Google Play是官方的应用商店，但其中并不乏有恶意程序。例如，三月份在Google Play上发现了九个恶意应用程序。一月份，Google从Google Play上删除了164个恶意应用程序，这些程序总计被下载了超过1000万次。

去年，Joker持续困扰着Google Play。Joker木马自从2017年被发现后持续进行计费欺诈，安装该恶意软件后会模拟点击并拦截短信，使受害者订阅不需要的、付费的高级服务。与此同时，应用程序还会窃取短信、联系人列表和设备信息。

用户应该警惕通过WhatsApp或其他通讯软件收到的下载链接或附件，即使他们来自受信任的联系人或群组。如果已经中招要立刻删除恶意软件，并修改自己的所有密码。