ΟCercetătorii ESET au descoperit un nou troian Android, care vizează aplicația oficială PayPal și este capabil să ocolească autentificarea PayPal cu doi factori.
Troianul, detectat pentru prima dată de ESET în noiembrie 2018, combină capacitățile unui troian bancar controlat de la distanță cu o nouă formă de abuz al accesibilității Android care vizează utilizatorii aplicației oficiale PayPal. Până acum, malware-ul apare ca un instrument de optimizare a duratei de viață a bateriei și este distribuit prin magazine de aplicații terțe.
Odată instalată, aplicația rău intenționată se termină fără a oferi nicio funcționalitate și pictograma acesteia dispare. Dincolo de asta, cercetătorii au descoperit că aceasta continuă în două moduri.
Deghizarea folosită de malware în această etapă
În primul rând, malware-ul afișează o notificare care cere utilizatorului să o lanseze. Odată ce utilizatorul deschide aplicația PayPal și se conectează, serviciul de acces rău intenționat (dacă a fost activat anterior de utilizator) imită clicurile utilizatorului pentru a trimite bani la adresa PayPal a atacatorului.
Potrivit cercetătorilor, aplicația a încercat să transfere 1.000 de euro, totuși, moneda folosită depinde de locația utilizatorului. Întregul proces durează aproximativ 5 secunde, iar pentru un utilizator nebănuitor nu există nicio modalitate de a interveni la timp.
Deoarece programele malware nu se bazează pe furtul acreditărilor de conectare PayPal și, în schimb, așteaptă ca utilizatorii să se conecteze ei înșiși, poate ocoli autentificarea cu doi factori a PayPal. Atacul eșuează numai dacă utilizatorul are un sold PayPal insuficient și nu a conectat un card de plată la contul său.
PayPal a fost notificat de către ESET cu privire la malware folosit de acest troian și la ce cont PayPal folosește atacatorul pentru a obține banii furați.
În al doilea mod, aplicațiile rău intenționate afișează cinci aplicații legitime acoperite pe ecran - Google Play, WhatsApp, Skype, Viber și Gmail, dar nu pot fi închise de utilizatori decât dacă este completat un formular de date fals. Cercetătorii au descoperit că, chiar și cu transmiterea de informații false, ecranul a dispărut.
Cu toate acestea, codul malware conține șiruri care susțin că telefonul victimei a fost blocat pentru vizionarea pornografiei infantile și poate fi deblocat numai dacă un e-mail este trimis la o anumită adresă.
Ecrane suprapuse rău intenționate pentru Google Play, WhatsApp, Viber și Skype
Ecran de suprapunere rău intenționat Pescuit pentru acreditările Gmail
Pe lângă aceste două funcții de bază și în funcție de comenzile pe care le primește de la serverul C&C, malware-ul mai poate trimite sau șterge SMS-uri, descărca contacte, efectua sau redirecționează apeluri, instala și rula aplicații etc.
ESET îi sfătuiește pe utilizatorii care au instalat troianul să își verifice contul bancar pentru tranzacții suspecte și să-și schimbe codurile de internet banking, PIN-urile și parolele Gmail. În cazul tranzacțiilor PayPal neautorizate, aceștia pot raporta problema Centrului de analiză PayPal.
Pentru utilizatorii de dispozitive care nu pot fi utilizate din cauza suprapunerii ecranului, ESET recomandă să utilizați modul sigur de Android și să eliminați aplicația numită „Android Optimization” din secțiunea Manager de aplicații/Aplicații din setările dispozitivului.
Pentru a fi în siguranță de malware Android în viitor, ESET recomandă utilizatorilor:
• Aveți încredere numai în magazinul oficial Google Play pentru a descărca aplicații.
• Verificați numărul de instalări, evaluările și conținutul recenziilor înainte de a descărca aplicații de pe Google Play.
• Fiți atenți la permisiunile aplicațiilor pe care le instalează.
• Păstrați dispozitivul Android la zi și utilizați o soluție de securitate mobilă de încredere.
