Check Point Software Technologiesは4月7日(米国時間)、「Autoreply attack! New Android malware found in Google Play Store spreads via malicious auto-replies to WhatsApp messages – Check Point Software」において、新型コロナウイルス感染症の影響で、今ならNetflixプレミアムを2カ月間無料で視聴できることをうたうAndroidマルウェア「FlixOnline」がGoogle Playアプリストアに登録されていることを発見したと伝えた。

同社はこの調査結果をGoogleに報告済みであり、Googleは対象アプリをすでにストアから削除している。FlixOnlineは2カ月間で約500回ダウンロードされたという。

FlixOnlineはインストールされると、ユーザーに対して「オーバーレイ」「バッテリー最適化の無視」「通知」の権限を要求するサービスを開始する。これはすべてマルウェアとして動作するために必要となる機能。権限を与えてしまうと、画面の詐称、マルウェアの停止回避、受信メッセージに対する自動返信などが実施されるという。

FlixOnlineの最大の特徴はメッセージアプリであるWhatsAppの通知を監視し、ユーザーがメッセージを受信すると自動的に応答を送信する点にある。FlixOnlineはこの機能を悪用することで、登録されているユーザーにマルウェアのインストールへ誘導するためのURLを送りつけたり、データ窃取へつながるサイトへ誘導したりすることが可能になる。GoogleはGoogle Playにマルウェアが登録されるのを防ぐ取り組みを行っているが、それでも依然としてマルウェアは登録され続けており注意が必要。Google Playからインストールする場合、ダウンロード数やコメントなどからチェックするなどして、問題のないアプリであるかどうか確認することが望まれる。