Netflix gratis? È un virus che si diffonde via WhatsApp
Scovata su Google Play da Check Point Research, l’app FlixOnline si replicava attraverso la celebre piattaforma di messaggistica.
Tra le regole auree per difendersi dai malware online, una delle più preziose consiste nel diffidare delle occasioni «troppo belle per essere vere». Per esempio la possibilità di usufruire dell’intero catalogo Netflix via smartphone in maniera completamente gratuita. È la lezione che, negli ultimi mesi, hanno appreso a proprie spese centinaia di utenti Android incappati nell’app «FlixOnline», fino a poche ore fa disponibile su Google Play. A segnalarne la pericolosità direttamente a Mountain View sono stati gli esperti della società di cybersicurezza Check Point Research, illustrandone poi il subdolo funzionamento in una nota ufficiale pubblicata giovedì.
Permessi sospetti
Come evidente, la prima arma di cui FlixOnline disponeva per ingannare gli utenti era il fatto di essere regolarmente indicizzata sullo store ufficiale di casa Android, dunque (teoricamente) al di là di ogni ragionevole dubbio sulla sua sicurezza. Ciononostante, per intuire che alle sue spalle ci fosse un’attività illecita poteva essere sufficiente prestare attenzione agli inusuali permessi richiesti a seguito dell’installazione: l’overlay dello schermo, la possibilità di ignorare la funzionalità di ottimizzazione della batteria e l’accesso a tutte le notifiche del dispositivo. Il primo serviva infatti all’app per sottrarre alla vittima credenziali private attraverso la creazione di finestre di accesso fasulle, il secondo per evitarne la chiusura automatica anche in caso di prolungato inutilizzo, il terzo per conferirle totale controllo anzitutto sui messaggi in arrivo su WhatsApp. Ciliegina sulla torta, un’impostazione predefinita faceva sparire la sua icona – una copia abusiva della «N» di Netflix – dai menu, complicandone così la disinstallazione.
Replicazione via WhatsApp
Non fosse già abbastanza, a peggiorare il quadro interveniva puntualmente la capacità del malware di replicarsi proprio attraverso WhatsApp. Alla ricezione di ogni nuovo messaggio, infatti, FlixOnline rispondeva autonomamente con il seguente testo: «2 Months of Netflix Premium Free at no cost For REASON OF QUARANTINE (CORONA VIRUS)* Get 2 Months of Netflix Premium Free anywhere in the world for 60 days». Tradotto: «2 mesi di Netflix Premium gratis a costo zero Per MOTIVI DI QUARANTENA (CORONA VIRUS) * Ottieni 2 mesi di Netflix Premium gratis ovunque nel mondo per 60 giorni». A seguire, un invito a cliccare su uno short link che conduceva a un sito in grado, secondo quanto riportato, di «diffondere ulteriori malware tramite link dannosi; rubare dati dagli account WhatsApp degli utenti; diffondere messaggi falsi o dannosi ai contatti e ai gruppi WhatsApp degli utenti; commettere estorsione ai danni degli utenti minacciando di inviare dati o conversazioni WhatsApp sensibili a tutti i loro contatti». Il tutto facendo nuovamente leva su una presunta affidabilità di fondo, considerato che agli occhi dei riceventi il messaggio sembrava provenire da un contatto conosciuto.
Non è la prima volta
Secondo quanto riferito dai ricercatori, prima che venisse rimossa FlixOnline era stata scaricata circa 500 volte. Alla luce del suo funzionamento, tuttavia, è probabile che nella sua trappola siano caduti in realtà migliaia di utenti. E non è ora da escludere che gli hacker che l’hanno messa a punto tentino di riproporne il meccanismo sotto altre forme. Un nuovo scivolone per Google Play a meno di un mese da una precedente segnalazione in cui la stessa Check Point Research rilevava la presenza di un altro malware in nove app del negozio virtuale, anch’esse adesso non più scaricabili (un copione comunque già visto negli anni, al netto della rarità di questi casi sul totale dei servizi disponibili). Nessuna responsabilità è invece addebitabile a Netflix e WhatsApp.