ΟBadacze ESET odkryli nowego trojana dla systemu Android, który atakuje oficjalną aplikację PayPal i jest w stanie ominąć dwuskładnikowe uwierzytelnianie PayPal.
Trojan, wykryty po raz pierwszy przez firmę ESET w listopadzie 2018 r., łączy w sobie możliwości zdalnie sterowanego trojana bankowego z nową formą nadużywania ułatwień dostępu Androida, atakując użytkowników oficjalnej aplikacji PayPal. Jak dotąd złośliwe oprogramowanie pojawia się jako narzędzie do optymalizacji żywotności baterii i jest dystrybuowane za pośrednictwem zewnętrznych sklepów z aplikacjami.
Po zainstalowaniu złośliwa aplikacja kończy działanie, nie zapewniając żadnej funkcjonalności, a jej ikona znika. Poza tym naukowcy odkryli, że przebiega to na dwa sposoby.
Przebranie używane przez złośliwe oprogramowanie na tym etapie
Po pierwsze, złośliwe oprogramowanie wyświetla powiadomienie z prośbą o uruchomienie go. Gdy użytkownik otworzy aplikację PayPal i zaloguje się, złośliwa usługa dostępu (jeśli została wcześniej włączona przez użytkownika) naśladuje kliknięcia użytkownika w celu wysłania pieniędzy na adres PayPal osoby atakującej.
Według badaczy aplikacja próbowała przelać 1.000 euro, jednak użyta waluta zależy od lokalizacji użytkownika. Cały proces trwa około 5 sekund, a dla niczego niepodejrzewającego użytkownika nie ma możliwości interweniowania w czasie.
Ponieważ złośliwe oprogramowanie nie polega na kradzieży danych logowania do PayPal, a zamiast tego czeka, aż użytkownicy się zalogują, może ominąć dwuskładnikowe uwierzytelnianie PayPal. Atak kończy się niepowodzeniem tylko wtedy, gdy użytkownik ma niewystarczające saldo PayPal i nie podłączył do swojego konta karty płatniczej.
Firma ESET powiadomiła firmę PayPal o złośliwym oprogramowaniu wykorzystywanym przez tego trojana oraz o koncie PayPal, z którego korzysta osoba atakująca w celu uzyskania skradzionych pieniędzy.
Po drugie, złośliwe aplikacje wyświetlają pięć legalnych aplikacji zasłaniających ekran – Google Play, WhatsApp, Skype, Viber i Gmail, ale nie mogą zostać zamknięte przez użytkowników, chyba że wypełnią formularz fałszywych danych. Naukowcy odkryli, że nawet po przesłaniu fałszywych informacji ekran zniknął.
Jednak kod złośliwego oprogramowania zawiera ciągi znaków, które twierdzą, że telefon ofiary został zablokowany do oglądania pornografii dziecięcej i można go odblokować tylko wtedy, gdy wiadomość e-mail zostanie wysłana na określony adres.
Złośliwe ekrany nakładkowe dla Google Play, WhatsApp, Viber i Skype
Złośliwe wykrywanie nakładek ekranu dla danych logowania do Gmaila
Oprócz tych dwóch podstawowych funkcji i w zależności od poleceń, które otrzymuje z serwera C&C, złośliwe oprogramowanie może również wysyłać lub usuwać SMS-y, pobierać kontakty, wykonywać lub przekierowywać połączenia, instalować i uruchamiać aplikacje itp.
Firma ESET radzi użytkownikom, którzy zainstalowali trojana, aby sprawdzili swoje konto bankowe pod kątem podejrzanych transakcji oraz zmienili kody bankowości internetowej, kody PIN i hasła do Gmaila. W przypadku nieautoryzowanych transakcji PayPal mogą zgłosić problem do Centrum Analiz PayPal.
Użytkownikom urządzeń, których nie można używać z powodu nakładki ekranowej, firma ESET zaleca korzystanie z trybu bezpiecznego systemu Android i usunięcie aplikacji o nazwie „Optymalizacja systemu Android” w sekcji Menedżer aplikacji/Aplikacje w ustawieniach urządzenia.
Aby w przyszłości zabezpieczyć się przed złośliwym oprogramowaniem dla systemu Android, firma ESET zaleca użytkownikom:
• Pobieraj aplikacje wyłącznie w oficjalnym sklepie Google Play.
• Sprawdź liczbę instalacji, oceny i zawartość recenzji przed pobraniem aplikacji z Google Play.
• Uważaj na uprawnienia instalowanych aplikacji.
• Aktualizuj swoje urządzenie z systemem Android i korzystaj z niezawodnego rozwiązania w zakresie bezpieczeństwa mobilnego.
