Un nou virus troian ce vizează utilizatorii de Android, la care ar trebui să fiți foarte atenți, a fost descoperit luna trecuta de specialistii in securitate de la Eset.
Acest malware, detectat pentru prima oară de ESET în noiembrie 2018, îmbină capacitățile unui troian bancar controlat în mod remote și utilizarea abuzivă a serviciilor de accesibilitate Android, pentru a targeta direct utilizatorii aplicației oficiale PayPal.
Malware-ul este deghizat sub forma unui instrument de optimizare a bateriei și este distribuit prin intermediul magazinelor de aplicații ale unor terți.
După ce este lansată, aplicația malițioasă se închide fără a oferi vreo funcționalitate și își șterge automat iconița din telefon. Din acest punct, operațiunea se desfășoară în două etape principale, așa cum este descris în secțiunile următoare.
Prima funcție a malware-ului, furtul de bani din conturile PayPal ale victimelor sale, necesită activarea unui serviciu de accesibilitate rău intenționat. După cum se poate observa mai jos, această solicitare este prezentată utilizatorului ca fiind din serviciu de „Activare a statisticilor”.
Dacă utilizatorul are deja instalată aplicația oficială PayPal, malware-ul afișează o alertă de notificare prin care îi solicită acestuia să o deschidă. După ce utilizatorul deschide aplicația PayPal și se conectează, serviciul de accesibilitate malițios (activat anterior de utilizator) își preia rolul și imită click-urile utilizatorului, pentru a vira bani spre contul PayPal al atacatorului.
În timpul analizei expertilor in securitate, aplicația a încercat să facă un transfer de 1000 de euro, însă moneda utilizată depinde de locația utilizatorului. Întregul proces durează aproximativ 5 secunde, iar pentru un utilizator nebănuitor, nu există nicio cale să intervină la timp.
Deoarece malware-ul nu se bazează pe furtul credențialelor de login PayPal și, în schimb, așteaptă ca utilizatorul să se logheze el înșuși în aplicația oficială PayPal, reușește astfel să păcălească și sistemul de autentificare cu doi factori al PayPal (2FA). Utilizatorii care au optat pentru 2FA au de completat un pas suplimentar în procesul de autentificare, însă ajung să fie la fel de vulnerabili în fața acestui troian ca cei care nu se bazează pe acest sistem.
Atacul se dovedește un eșec doar dacă utilizatorul are solduri PayPal insuficiente sau nu are niciun card de plată asociat contului. Serviciul de accesibilitate rău intenționat este activat de fiecare dată când aplicația PayPal este lansată, adică atacul ar putea avea loc chiar de mai multe ori.
O funcție secundară a malware-ului utilizează ferestre de phishing afișate voalat peste aplicațiile legitime.
Malware-ul descarcă în mod implicit ferestre suprapuse bazate pe HTML pentru cinci aplicații – Google Play, WhatsApp, Skype, Viber și Gmail – iar această listă poate fi actualizată în orice moment. Acest lucru are de-a face cu faptul că PayPal trimite notificări prin e-mail pentru fiecare tranzacție finalizată. Având acces la contul de Gmail al victimei, atacatorii ar putea șterge astfel de e-mail-uri pentru a trece neobservați mai mult timp.
In funcție de comenzile primite de la serverul C&C, malware-ul poate de asemenea:
– Să intercepteze și să trimită mesaje SMS; să șteargă toate mesajele SMS; să schimbe aplicația implicită pentru SMS-uri (pentru a păcăli autentificarea cu doi factori bazată pe SMS)
– Să obțină lista de contacte
– Să efectueze și expedieze apeluri
– Să obțină lista cu aplicațiile instalate
– Să instaleze aplicația și să o ruleze
– Să pornească comunicarea socketului
Cum să rămâneți în siguranță
Cei care au instalat aceste aplicații rău intenționate probabil au căzut deja victime ale uneia dintre aceste funcții.
Dacă ați instalat acest troian ce vizează PayPal, vă sfătuim să vă verificați contul bancar pentru tranzacții suspecte și să luați în considerare schimbarea parolei de internet banking/ PIN-ului, precum și parola de Gmail. În cazul în care găsiți tranzacții neautorizate PayPal, puteți raporta problema la Resolution Center.
Pentru cei care nu reușesc să închidă ecranul suprapus afișat de acest troian, vă recomandăm să activați Safe Mode și să dezinstalați aplicația numită „Optimization Android” din Setări> (General)> Manager aplicații/ Aplicații.
Dezinstalarea în Safe Mode este, de asemenea, recomandată utilizatorilor brazilieni care au instalat unul dintre troienii din Google Play.
Pentru a vă proteja în viitor de astfel de malware-uri Android, vă sfătuim să:
Optați pentru descărcarea de aplicații doar din magazinul oficial Google Play
Verificați întotdeauna numărul de descărcări, evaluările aplicațiilor și conținutul recenziilor înainte de a descărca aplicații din Google Play
Fiți atent ce permisiuni acordați aplicațiilor pe care le instalați
Păstrați dispozitivul Android actualizat la zi și să utilizați o soluție fiabilă de securitate mobilă;