ΟEls investigadors d'ESET han descobert un nou troià d'Android, que té com a objectiu l'aplicació oficial de PayPal i que és capaç de passar per alt l'autenticació de PayPal de dos factors.
El troià, detectat per primera vegada per ESET el novembre de 2018, combina les capacitats d'un troià bancari controlat a distància amb una nova forma d'abús de l'accessibilitat d'Android dirigida als usuaris de l'aplicació oficial de PayPal. Fins ara, el programari maliciós apareix com una eina per optimitzar la durada de la bateria i es distribueix a través de botigues d'aplicacions de tercers.
Un cop instal·lada, l'aplicació maliciosa finalitza sense oferir cap funcionalitat i la seva icona desapareix. Més enllà d'això, els investigadors van trobar que continua de dues maneres.
La disfressa utilitzada pel programari maliciós en aquesta etapa
En primer lloc, el programari maliciós mostra una notificació demanant a l'usuari que l'iniciï. Un cop l'usuari obre l'aplicació PayPal i s'inicia la sessió, el servei d'accés maliciós (si l'usuari ha activat prèviament) imita els clics de l'usuari per enviar diners a l'adreça de PayPal de l'atacant.
Segons els investigadors, l'aplicació va intentar transferir 1.000 euros, però, la moneda utilitzada depèn de la ubicació de l'usuari. Tot el procés dura uns 5 segons, i per a un usuari desprevingut, no hi ha manera d'intervenir a temps.
Com que el programari maliciós no es basa en robar les credencials d'inici de sessió de PayPal i, en canvi, espera que els usuaris iniciïn sessió ells mateixos, pot evitar l'autenticació de dos factors de PayPal. L'atac només falla si l'usuari té un saldo de PayPal insuficient i no ha connectat cap targeta de pagament al seu compte.
ESET ha notificat a PayPal el programari maliciós utilitzat per aquest troià i quin compte de PayPal utilitza l'atacant per obtenir els diners robats.
En segon lloc, les aplicacions malicioses mostren cinc aplicacions legítimes cobertes de pantalla: Google Play, WhatsApp, Skype, Viber i Gmail, però els usuaris no les poden tancar tret que s'ompli un formulari de dades fals. Els investigadors van trobar que fins i tot amb l'enviament d'informació falsa, la pantalla va desaparèixer.
Tanmateix, el codi de programari maliciós conté cadenes que afirmen que el telèfon de la víctima s'ha bloquejat per veure pornografia infantil i només es pot desbloquejar si s'envia un correu electrònic a una adreça específica.
Pantalles superposades malicioses per a Google Play, WhatsApp, Viber i Skype
Pesca de pantalla de superposició maliciosa per a credencials de Gmail
A més d'aquestes dues funcions bàsiques, i en funció de les ordres que rep del servidor C&C, el programari maliciós també pot enviar o eliminar SMS, descarregar contactes, fer o reenviar trucades, instal·lar i executar aplicacions, etc.
ESET aconsella als usuaris que han instal·lat el troià que comprovin el seu compte bancari si hi ha transaccions sospitoses i que canviïn els codis de la banca per Internet, els PIN i les contrasenyes de Gmail. En cas de transaccions de PayPal no autoritzades, poden informar del problema al Centre d'anàlisi de PayPal.
Per als usuaris de dispositius que no es poden utilitzar a causa de la superposició de la pantalla, ESET recomana que utilitzeu el mode segur d'Android i elimineu l'aplicació anomenada "Optimització d'Android" a la secció Gestor d'aplicacions/Aplicacions de la configuració del dispositiu.
Per estar segur del programari maliciós d'Android en el futur, ESET recomana als usuaris:
• Només confieu en la botiga oficial de Google Play per baixar aplicacions.
• Comproveu el nombre d'instal·lacions, puntuacions i contingut de les ressenyes abans de baixar aplicacions de Google Play.
• Aneu amb compte amb els permisos de les aplicacions que instal·len.
• Mantenir el seu dispositiu Android actualitzat i utilitzar una solució de seguretat mòbil fiable.
