惡意程式冒充免費Netflix程式，藉WhatsApp自動回覆功能散布

想要免費看Netflix的用戶需留心，安全廠商發現一隻冒充Netflix免費軟體的惡意程式，安裝後可竊取WhatsApp通訊內容、用戶密碼，還會利用WhatsApp自動回覆功能擴大散布範圍。

Check Point研究團隊近日發現Google Play Store上一隻名為FlixOnline的App，它假冒可讓用戶在手機上收看全世界的Netflix內容。但是一旦用戶下載後，它會啟動一項服務，要求Android手機三項權限，包括覆蓋程式碼（overlay）、忽略電池最佳化及通知許可。覆蓋程式碼可讓惡意程式在其他App上方建立視窗，通常是假的登入對話框，以便用戶登入時竊取帳密。忽略電池最佳化則防止惡意程式在低電量或閒置時關閉，使它能持續運作。

圖片來源／Check Point

最厲害的許可是存取通知內容，通常是利用通知聽取（notification listener）服務。一旦允許，這支惡意軟體就能存取傳送到手機的通知，還能自動執行某些行為，像是忽略或回覆。如果用戶准許了惡意程式的請求，則它可以任意自由散布其惡意酬載，像是自動回覆親友傳來的WhatsApp訊息。

研究人員也觀察到這隻程式送出的自動回覆訊息。訊息是惡意程式從外部C&C伺服器下載的內容，包括一則謊稱免費提供2個月的Netflix收看服務，訊息中並有一則連結。

研究人員指出，利用這些手法，攻擊者可能的行為包括從WhatsApp帳號竊取資料、利用惡意連結複製和散布給其他用戶，以及將假訊息、釣魚網站連結傳送給用戶WhatsApp的聯絡人及群組（如工作群組）。

在CheckPoint通知後，Google已經將FlixOnline從Play Store移除。而在上架的2個月內，這款App已經被下載近500次。

安全廠商提醒用戶應小心來自WhatsApp或其他通訊App接到的連結或附件，即使對方是信任的聯絡人或群組。