ただほど怖いものはない

「無料でNetflixが60日間試せますよ」
そんなメッセージを勝手に送るマルウェアが確認されています。

そもそもとしてこれはFlixOnlineという名前の悪意のあるAndroid向けのアプリです。
これをインストールすると、本当にNetFlixコンテンツが表示できるようになります。
でも、それに加えて、勝手な動きも提供します。
FlixOnlineのインストールされた環境で動作するWhatsAppの通信を監視し、そこに入ってきたメッセージの送信元に勝手に前述の無料で試せますよのメッセージを自動応答するのです。
この自動応答のメッセージに添えられたURLをクリックすると、そのユーザにも同じFlixOnlineがインストールされます。
まさに自己増殖するかのような動きです。

単に自己増殖するだけでなくこのマルウェアはWhatsAppのメッセージを見ていますので、そのうち機密性の高い会話をすべての連絡先に送信するぞと脅してくるらしいです。
どうやって機密性の高い会話を機密性が高いと判断するのかというあたりにも非常に興味がありますが、こんなことをされると困ります。

このマルウェアは技術的にもよく考えられているもののようです。
こういった特徴があります。

• オーバーレイ機能の権限を要求します。これにより、他のアプリの上に新しいウインドウを開けますので、これによって他のアプリの認証情報を盗みます。
• バッテリー最適化無視の権限を要求します。これにより、マルウェアが活動していない状態となった場合にでもOSからマルウェアが停止されることを予防できます。
• 通知権限を要求します。これにより、デバイスが受信したメッセージに関する通知にアクセスできるようになり、自動応答を行うことができるようになります。

攻撃者側はよく研究しています。
防御側も考える必要がありそうです。

参考記事（外部リンク）：New Wormable Android Malware Spreads by Creating Auto-Replies to Messages in WhatsApp
research.checkpoint.com/2021/new-wormable-android-malware-spreads-by-creating-auto-replies-to-messages-in-whatsapp/