ΟИзследователите на ESET откриха нов троянски кон за Android, който е насочен към официалното приложение на PayPal и е в състояние да заобиколи двуфакторното удостоверяване на PayPal.
Троянецът, открит за първи път от ESET през ноември 2018 г., съчетава възможностите на дистанционно управляван банков троянец с нова форма на злоупотреба с достъпността на Android, насочена към потребителите на официалното приложение PayPal. Досега зловредният софтуер се появява като инструмент за оптимизиране на живота на батерията и се разпространява чрез магазини за приложения на трети страни.
Веднъж инсталирано, злонамереното приложение се прекратява, без да предоставя никаква функционалност и иконата му изчезва. Освен това изследователите откриха, че това продължава по два начина.
Маскировката, използвана от злонамерения софтуер на този етап
По първия начин злонамереният софтуер показва известие с молба от потребителя да го стартира. След като потребителят отвори приложението PayPal и влезе, услугата за злонамерен достъп (ако е била активирана преди това от потребителя) имитира кликванията на потребителя, за да изпрати пари до PayPal адреса на нападателя.
Според изследователите приложението се е опитало да преведе 1.000 евро, но използваната валута зависи от местоположението на потребителя. Целият процес отнема около 5 секунди и за нищо неподозиращ потребител няма начин да се намеси навреме.
Тъй като зловредният софтуер не разчита на кражба на идентификационни данни за вход в PayPal и вместо това чака потребителите да влязат сами, той може да заобиколи двуфакторното удостоверяване на PayPal. Атаката е неуспешна само ако потребителят няма достатъчно баланс на PayPal и не е свързал платежна карта към акаунта си.
PayPal е уведомен от ESET за злонамерения софтуер, използван от този троянец и кой акаунт в PayPal използва нападателят, за да получи откраднатите пари.
По втория начин злонамерените приложения показват пет легитимни приложения, покрити с екран - Google Play, WhatsApp, Skype, Viber и Gmail, но не могат да бъдат затворени от потребителите, освен ако не е попълнен формуляр за фалшиви данни. Изследователите установиха, че дори и при подаване на фалшива информация екранът изчезва.
Кодът на зловреден софтуер обаче съдържа низове, които твърдят, че телефонът на жертвата е бил заключен за гледане на детска порнография и може да бъде отключен само ако имейл е изпратен на конкретен адрес.
Зловредни наслагващи екрани за Google Play, WhatsApp, Viber и Skype
Злонамерено наслагване на екранен риболов за идентификационни данни за Gmail
В допълнение към тези две основни функции и в зависимост от командите, които получава от C&C сървъра, зловредният софтуер може също да изпраща или изтрива SMS, да изтегля контакти, да извършва или пренасочва повиквания, да инсталира и стартира приложения и т.н.
ESET съветва потребителите, които са инсталирали троянския кон, да проверят банковата си сметка за подозрителни транзакции и да променят своите кодове за интернет банкиране, ПИН и пароли за Gmail. В случай на неоторизирани транзакции на PayPal, те могат да докладват за проблема в Центъра за анализ на PayPal.
За потребители на устройства, които не могат да се използват поради наслагване на екрана, ESET препоръчва да използвате безопасния режим на Android и да премахнете приложението, наречено „Оптимизация на Android“ в секцията Мениджър на приложения/Приложения в настройките на устройството.
За да се предпазите от злонамерен софтуер за Android в бъдеще, ESET препоръчва на потребителите:
• Доверете се само на официалния Google Play Store за изтегляне на приложения.
• Проверете броя на инсталациите, оценките и съдържанието на рецензиите, преди да изтеглите приложения от Google Play.
• Внимавайте с разрешенията на приложенията, които инсталират.
• Поддържайте своето устройство с Android актуално и използвайте надеждно мобилно решение за сигурност.