ΟOs pesquisadores da ESET descobriram um novo cavalo de Troia Android, que tem como alvo o aplicativo oficial do PayPal e é capaz de contornar a autenticação de dois fatores do PayPal.
O Trojan, detectado pela primeira vez pela ESET em novembro de 2018, combina os recursos de um Trojan bancário controlado remotamente com uma nova forma de abuso de acessibilidade do Android que visa os usuários do aplicativo PayPal oficial. Até agora, o malware aparece como uma ferramenta para otimizar a vida útil da bateria e é distribuído por meio de lojas de aplicativos de terceiros.
Depois de instalado, o aplicativo malicioso é encerrado sem fornecer nenhuma funcionalidade e seu ícone desaparece. Além disso, os pesquisadores descobriram que ela continua de duas maneiras.
O disfarce usado pelo malware nesta fase
Na primeira forma, o malware exibe uma notificação pedindo ao usuário para iniciá-lo. Depois que o usuário abre o aplicativo PayPal e efetua login, o serviço de acesso malicioso (se habilitado anteriormente pelo usuário) imita os cliques do usuário para enviar dinheiro para o endereço PayPal do invasor.
Segundo os pesquisadores, o aplicativo tentou transferir mil euros, mas a moeda utilizada depende da localização do usuário. Todo o processo leva cerca de 1.000 segundos e, para um usuário desavisado, não há como intervir a tempo.
Como o malware não depende do roubo de credenciais de login do PayPal e, em vez disso, espera que os usuários façam login, ele pode ignorar a autenticação de dois fatores do PayPal. O ataque falha apenas se o usuário não tiver saldo insuficiente no PayPal e não tiver conectado um cartão de pagamento à sua conta.
O PayPal foi notificado pela ESET sobre o malware usado por este Trojan e qual conta do PayPal o invasor usa para obter o dinheiro roubado.
Na segunda forma, aplicativos maliciosos exibem cinco aplicativos legítimos cobertos pela tela - Google Play, WhatsApp, Skype, Viber e Gmail, mas não podem ser fechados pelos usuários a menos que um formulário de dados falsos seja preenchido. Os pesquisadores descobriram que, mesmo com o envio de informações falsas, a tela desaparecia.
No entanto, o código do malware contém cadeias de caracteres que afirmam que o telefone da vítima foi bloqueado para visualização de pornografia infantil e só pode ser desbloqueado se um e-mail for enviado para um endereço específico.
Telas de sobreposição maliciosas para Google Play, WhatsApp, Viber e Skype
Pesca de tela de sobreposição maliciosa para credenciais do Gmail
Além dessas duas funções básicas, e dependendo dos comandos que recebe do servidor C&C, o malware também pode enviar ou excluir SMS, baixar contatos, fazer ou encaminhar chamadas, instalar e executar aplicativos etc.
A ESET aconselha os usuários que instalaram o Trojan a verificar suas contas bancárias em busca de transações suspeitas e alterar seus códigos de internet banking, PINs e senhas do Gmail. No caso de transações não autorizadas do PayPal, eles podem relatar o problema ao Centro de Análise do PayPal.
Para usuários de dispositivos que não podem ser usados devido à sobreposição de tela, a ESET recomenda que você use o modo seguro do Android e remova o aplicativo denominado "Otimização do Android" na seção Gerenciador de aplicativos / Aplicativos nas configurações do dispositivo.
Para se proteger contra malware do Android no futuro, a ESET recomenda que os usuários:
• Confie apenas na Google Play Store oficial para baixar aplicativos.
• Verifique o número de instalações, classificações e conteúdo de comentários antes de baixar aplicativos do Google Play.
• Tenha cuidado com as permissões dos aplicativos que eles instalam.
• Mantenha seu dispositivo Android atualizado e use uma solução de segurança móvel confiável.
