
O pesquisador Nikolaos Chrysaidos, líder da área de ameaças para dispositivos móveis da Avast, anunciou a descoberta de um falso aplicativo da Netflix que rouba as mensagens SMS recebidas pelo usuário. O interesse de cibercriminosos nessas mensagens está nos tokens que muitas delas contêm, enviados por muitos bancos e até por plataformas como o Facebook e o Google. A descoberta foi feita na loja de aplicativos Google Play, na área destinada aos usuários de língua francesa, mas naturalmente nada impede que o app reapareça atacando usuários no Brasil. O aplicativo se chama Patche Netflix e oferece como vantagem a possibilidade de desbloquear todas as limitações geográficas do Netflix, permitindo que o usuário assista filmes publicados pela empresa em qualquer lugar do mundo.
A descrição da utilidade do aplicativo chega a ser arrogante: “Os contratos exclusivos entre produtores e redes fazem com que, por exemplo, a série House of Cards – produzida pela Netflix – permaneça exclusiva do Canal + ni France. Nossas restrições legais também nos impedirão de ver Star Wars 7 no serviço de streaming antes de (pelo menos) Dezembro de 2018 … Mas a Patche Netflix promete oferecer filmes de todo o mundo em um clique “.
Segundo informações de Chrysaidos no blog da Avast, quando se instala o aplicativo “Netflix Patche” ele solicita permissão para enviar e exibir mensagens SMS. Ao final da instalação, o aplicativo simplesmente oculta o ícone que deveria estar na tela, provavelmente para que o usuário esqueça que instalou alguma coisa. Em seguida, lê e envia todas as mensagens de SMS do dispositivo para um servidor C&C (de comando e controle).
“Descobrimos esse golpe com a nossa plataforma de inteligência contra ameaças móveis (MTIP), que chamamos de apklab.io. A plataforma está rodando 24 horas por dia, 7 dias por semana, monitorando todas as ameaças móveis que aparecem na rede monitorada pela Avast e seus parceiros, analisando o malware, classificando-o e aprendendo com ele. O sandbox de análise dinâmica e o modelo de Machine Learning do apklab.io detectaram o aplicativo como malicioso”, explicou o especialista.