然而,一旦下载,该恶意软件就会 "监听 "WhatsApp的对话,并自动回复带有恶意内容的信息。安装后,该应用会要求获得覆盖权限,这是盗窃服务凭证的常见行为,它还要求忽略电池优化,它可以阻止设备自动关闭软件以节省电力。此外,FlixOnline还要求获得通知权限,使恶意软件能够访问与WhatsApp通信相关的通知。
WhatsApp消息的自动回复包括以下内容,发送给受害者的联系人,"在世界任何地方60天获得2个月的Netflix高级免费服务。",并且附带一条恶意链接。据研究人员介绍,该恶意软件可以通过恶意链接进一步传播,窃取WhatsApp的对话数据,并在安卓设备上安装后,有能力通过消息服务传播虚假信息或有害内容。
此次活动中使用的恶意链接会将受害者发送到一个虚假的Netflix网站,试图获取用户的信用卡信息和证书。然而,由于该消息是从命令和控制(C2)服务器获取的,其他恶意活动可能会链接到不同的钓鱼网站或恶意软件有效载荷。
在被发现之前,FlixOnline约造成500名受害者,时间大约为两个月,而且该恶意软件很可能会再次出现。CPR将其发现告知谷歌,目前该应用已从Play Store中删除。WhatsApp也被告知该活动,但由于没有可利用的漏洞或问题,恶意软件使用通过消息应用程序传播,因此不需要采取行动。