ΟИсследователи ESET обнаружили нового троянца для Android, нацеленного на официальное приложение PayPal и способного обходить двухфакторную аутентификацию PayPal.
Троянец, впервые обнаруженный ESET в ноябре 2018 года, сочетает в себе возможности удаленно управляемого банковского трояна с новой формой злоупотребления доступом к Android, нацеленной на пользователей официального приложения PayPal. Пока что вредоносная программа выступает как инструмент для оптимизации времени автономной работы и распространяется через сторонние магазины приложений.
После установки вредоносное приложение завершает свою работу, не предлагая никаких функций, и его значок исчезает. Помимо этого, исследователи обнаружили, что это продолжается двумя способами.
Маскировка, используемая вредоносным ПО на данном этапе
В первом случае вредоносная программа отображает уведомление с просьбой запустить ее. Как только пользователь открывает приложение PayPal и входит в систему, служба злонамеренного доступа (если она была ранее включена пользователем) имитирует щелчки пользователя для отправки денег на адрес PayPal злоумышленника.
По словам исследователей, приложение пыталось перевести 1.000 евро, однако используемая валюта зависит от местонахождения пользователя. Весь процесс занимает около 5 секунд, и у ничего не подозревающего пользователя нет возможности вовремя вмешаться.
Поскольку вредоносное ПО не полагается на кражу учетных данных для входа в PayPal и вместо этого ожидает, пока пользователи сами войдут в систему, оно может обойти двухфакторную аутентификацию PayPal. Атака терпит неудачу только в том случае, если у пользователя недостаточно средств на балансе PayPal и он не подключил платежную карту к своей учетной записи.
Компания ESET уведомила PayPal о вредоносном ПО, используемом этим трояном, и о том, какую учетную запись PayPal злоумышленник использует для получения украденных денег.
Во втором случае вредоносные приложения отображают пять законных приложений с закрытым экраном - Google Play, WhatsApp, Skype, Viber и Gmail, но не могут быть закрыты пользователями, если не заполнена форма поддельных данных. Исследователи обнаружили, что даже при подаче ложной информации экран пропадал.
Однако код вредоносной программы содержит строки, в которых утверждается, что телефон жертвы заблокирован для просмотра детской порнографии и может быть разблокирован только в том случае, если электронное письмо отправлено на определенный адрес.
Вредоносные оверлейные экраны для Google Play, WhatsApp, Viber и Skype
Вредоносный оверлейный экран для учетных данных Gmail
В дополнение к этим двум основным функциям и в зависимости от команд, которые оно получает от C&C сервера, вредоносная программа также может отправлять или удалять SMS, загружать контакты, совершать или переадресовывать вызовы, устанавливать и запускать приложения и т. Д.
ESET рекомендует пользователям, установившим троян, проверить свой банковский счет на предмет подозрительных транзакций и изменить коды интернет-банкинга, PIN-коды и пароли Gmail. В случае несанкционированных транзакций PayPal они могут сообщить о проблеме в аналитический центр PayPal.
Для пользователей устройств, которые нельзя использовать из-за наложения экрана, ESET рекомендует использовать безопасный режим Android и удалить приложение под названием «Оптимизация Android» в разделе «Диспетчер приложений / Приложения» в настройках устройства.
Чтобы обезопасить себя от вредоносного ПО для Android в будущем, ESET рекомендует пользователям:
• Доверяйте загрузку приложений только официальному магазину Google Play.
• Перед загрузкой приложений из Google Play проверьте количество установок, рейтинги и содержание отзывов.
• Будьте осторожны с разрешениями устанавливаемых ими приложений.
• Своевременно обновляйте свое устройство Android и используйте надежное решение для обеспечения безопасности мобильных устройств.
