ΟESET-forskare har upptäckt en ny Android-trojan, som riktar sig till den officiella PayPal-applikationen och som kan kringgå tvåfaktors PayPal-autentisering.
Trojanen, som först upptäcktes av ESET i november 2018, kombinerar funktionerna hos en fjärrstyrd banktrojan med en ny form av missbruk av Android-tillgänglighet som riktar sig till användare av den officiella PayPal-applikationen. Hittills verkar skadlig programvara som ett verktyg för att optimera batteritiden och distribueras genom tredjepartsapplikationsbutiker.
När den har installerats avslutas den skadliga applikationen utan att tillhandahålla någon funktionalitet och dess ikon försvinner. Utöver det fann forskarna att det fortsätter på två sätt.
Förklädnaden som används av skadlig programvara i detta skede
I det första sättet visar skadlig programvara ett meddelande som ber användaren att starta det. När användaren öppnar PayPal-applikationen och loggar in, härmar tjänsten för skadlig åtkomst (om den tidigare aktiverats av användaren) användarens klick för att skicka pengar till angriparens PayPal-adress.
Enligt forskarna försökte applikationen överföra 1.000 5 euro, men vilken valuta som används beror på användarens plats. Hela processen tar cirka XNUMX sekunder, och för en intet ont anande användare finns det inget sätt att ingripa i tid.
Eftersom skadlig programvara inte förlitar sig på att stjäla PayPal-inloggningsuppgifter och istället väntar på att användarna själva ska logga in, kan den kringgå PayPals tvåfaktorsautentisering. Attacken misslyckas endast om användaren har otillräckligt PayPal-saldo och inte har anslutit ett betalkort till sitt konto.
PayPal har underrättats av ESET om skadlig programvara som används av denna trojan och vilket PayPal-konto angriparen använder för att få tag i de stulna pengarna.
På det andra sättet visar skadliga appar fem legitima skärmtäckta applikationer – Google Play, WhatsApp, Skype, Viber och Gmail, men kan inte stängas av användare om inte ett falskt dataformulär fylls i. Forskarna fann att även med inlämnandet av falsk information försvann skärmen.
Skadlig kod innehåller dock strängar som hävdar att offrets telefon har låsts för visning av barnpornografi och endast kan låsas upp om ett e-postmeddelande skickas till en specifik adress.
Skadliga överlagringsskärmar för Google Play, WhatsApp, Viber och Skype
Skadlig överlagring av skärmfiske för Gmail-uppgifter
Utöver dessa två grundläggande funktioner, och beroende på de kommandon den tar emot från C&C-servern, kan skadlig programvara även skicka eller ta bort SMS, ladda ner kontakter, ringa eller vidarekoppla samtal, installera och köra applikationer etc.
ESET råder användare som har installerat trojanen att kontrollera sitt bankkonto för misstänkta transaktioner och ändra sina internetbankkoder, PIN-koder och Gmail-lösenord. I händelse av obehöriga PayPal-transaktioner kan de rapportera problemet till PayPal Analysis Center.
För användare av enheter som inte kan användas på grund av skärmöverlagring rekommenderar ESET att du använder säkert läge för Android och tar bort programmet som heter "Android Optimization" i avsnittet Programhanterare/Appar i enhetsinställningarna.
För att vara säker från Android skadlig programvara i framtiden rekommenderar ESET att användare:
• Lita bara på den officiella Google Play Butik för att ladda ner appar.
• Kontrollera antalet installationer, betyg och innehåll i recensioner innan du laddar ner appar från Google Play.
• Var försiktig med behörigheterna för de program de installerar.
• Håll sin Android-enhet uppdaterad och använd en pålitlig mobil säkerhetslösning.
