ΟESET-forskere har oppdaget en ny Android-trojaner, som retter seg mot den offisielle PayPal-applikasjonen og er i stand til å omgå to-faktor PayPal-autentisering.
Trojaneren, først oppdaget av ESET i november 2018, kombinerer egenskapene til en fjernstyrt banktrojaner med en ny form for misbruk av Android-tilgjengelighet rettet mot brukere av den offisielle PayPal-applikasjonen. Så langt fremstår skadelig programvare som et verktøy for å optimere batterilevetiden og distribueres gjennom tredjeparts applikasjonsbutikker.
Når den er installert, avsluttes den skadelige applikasjonen uten å gi noen funksjonalitet, og ikonet forsvinner. Utover det fant forskerne at det fortsetter på to måter.
Forkledningen som brukes av skadelig programvare på dette stadiet
På den første måten viser skadelig programvare et varsel som ber brukeren starte den. Når brukeren åpner PayPal-applikasjonen og logger på, etterligner tjenesten for ondsinnet tilgang (hvis tidligere aktivert av brukeren) brukerens klikk for å sende penger til angriperens PayPal-adresse.
Ifølge forskerne prøvde applikasjonen å overføre 1.000 euro, men valutaen som brukes avhenger av brukerens plassering. Hele prosessen tar omtrent 5 sekunder, og for en intetanende bruker er det ingen måte å gripe inn i tide.
Fordi skadelig programvare ikke er avhengig av å stjele PayPals påloggingsinformasjon og i stedet venter på at brukerne skal logge på selv, kan den omgå PayPals tofaktorautentisering. Angrepet mislykkes bare hvis brukeren har utilstrekkelig PayPal-saldo og ikke har koblet et betalingskort til kontoen sin.
PayPal har blitt varslet av ESET om skadelig programvare som brukes av denne trojaneren og hvilken PayPal-konto angriperen bruker for å få tak i de stjålne pengene.
På den andre måten viser ondsinnede apper fem legitime skjermdekkede apper – Google Play, WhatsApp, Skype, Viber og Gmail, men kan ikke lukkes av brukere med mindre et falskt dataskjema fylles ut. Forskerne fant at selv med innsending av falsk informasjon, forsvant skjermen.
Imidlertid inneholder skadevarekoden strenger som hevder at offerets telefon har blitt låst for visning av barnepornografi og kan bare låses opp hvis en e-post sendes til en bestemt adresse.
Ondsinnede overleggsskjermer for Google Play, WhatsApp, Viber og Skype
Ondsinnet overlegg skjermfiske for Gmail-legitimasjon
I tillegg til disse to grunnleggende funksjonene, og avhengig av kommandoene den mottar fra C&C-serveren, kan skadelig programvare også sende eller slette SMS, laste ned kontakter, ringe eller videresende anrop, installere og kjøre applikasjoner etc.
ESET råder brukere som har installert trojaneren til å sjekke bankkontoen sin for mistenkelige transaksjoner og endre nettbankkoder, PIN-er og Gmail-passord. Ved uautoriserte PayPal-transaksjoner kan de rapportere problemet til PayPals analysesenter.
For brukere av enheter som ikke kan brukes på grunn av skjermoverlegg, anbefaler ESET at du bruker sikker modus til Android, og fjerner applikasjonen som heter «Android-optimalisering» i applikasjonsbehandler/apper-delen i enhetsinnstillingene.
For å være trygg mot Android malware i fremtiden, anbefaler ESET at brukere:
• Stol bare på den offisielle Google Play-butikken for å laste ned apper.
• Sjekk antall installasjoner, vurderinger og innhold i anmeldelser før du laster ned apper fra Google Play.
• Vær forsiktig med tillatelsene til applikasjonene de installerer.
• Hold Android-enheten deres oppdatert og bruk en pålitelig mobil sikkerhetsløsning.
