Aplicatie de tip malware pentru Android fura bani din conturile PayPal, in timp ce utilizatorii privesc neajutorati

 

Troianul Android asteapta ca utilizatorii sa introduca credentialele PayPal si codul de securitate pentru autentificarea cu doi factori, inainte de a declansa transferuri de bani.

 

Un nou troian Android ascuns intr-o aplicatie de optimizare a bateriei poate fura bani din conturile PayPal ale utilizatorilor, a aratat astazi ESET. Chiar conturile protejate de autentificarea cu doua factori sunt in pericol.

 

Din fericire, aplicatia rau intentionata, numita Optimization Battery, este disponibila in prezent doar prin magazinele de aplicatii ale tertilor, si nu prin magazinul oficial Play, adica foarte putini oameni au avut telefoane infectate pana acum de aceasta amenintare.

In ciuda acestui fapt, aceasta aplicatie ar trebui considerata incredibil de periculoasa. Acesta dispune de un sistem automatizat care initiaza transferuri de bani PayPal chiar de sub nasul utilizatorului, fara a oferi victimei sansa de a opri tranzactia ilicita.

 

Acest lucru se intampla deoarece, in timpul instalarii, aplicatia solicita accesul la permisiunea Android “Accesibilitate”, o caracteristica foarte periculoasa care permite unei aplicatii sa automatizeze interceptarea ecranelor si interactiunile sistemului de operare.

 

 

Dar este ciudat ca, odata ce aplicatia rau intentionata are acces la aceasta permisiune, nu o foloseste imediat. Aplicatia si troianul continut raman silentioase pana cand utilizatorul deschide aplicatia PayPal pe cont propriu sau dupa o notificare inselatoare declansata de troian.

 

Dupa ce utilizatorul deschide aplicatia oficiala PayPal, troianul asteapta ceva mai mult. De data aceasta se asteapta ca utilizatorul sa se logheze, sa introduca codul sau de autentificare cu doi factori si apoi, si numai atunci, porneste comportamentul de tip malware.

 

Aplicatia malware fura fondurile PayPal are loc in mai putin de 5 secunde

 

ESET, firma de securitate care a descoperit acest troian pe unul dintre dispozitivele clientilor sai, a declarat ca troianul abuza serviciul de accesibilitate pentru a imita selectiile utilizatorului.

 

Aceste selectii deschid un nou transfer PayPal, intra in contul PayPal al destinatarului, transfera suma si apoi aproba imediat.

 

“Intregul proces dureaza aproximativ 5 secunde, iar pentru un utilizator care nu suspecteaza nimic, nu exista nicio modalitate fezabila de a interveni in timp util”, a declarat astazi analistul de malware de la ESET, Lukas Stefanko.

 

Implicit, troianul va incerca sa fure 1000 de unitati din contul PayPal al utilizatorului. In cazul lui Stefanko, era de vorba de 1.000 de euro, o suma destul de mare.

 

Din cauza modului in care este codificat troianul, aceasta tranzactie automata se intampla de fiecare data cand utilizatorul acceseaza aplicatia PayPal. Singura data cand acesta nu reuseste este atunci cand utilizatorul nu are bani sau nu are fonduri in contul sau PayPal.

 

Intregul proces are loc foarte rapid, si foarte putine confirmari ale tranzactiilor PayPal raman pe ecran, aratand mai degraba ca o problema a aplicatiei. In timp ce unii utilizatori ar putea ghici ce s-a intamplat, multi utilizatori mai putini tehnici ar putea sa nu inteleaga ce inseamna aceste ecrane intermitente si pot trece zile sau saptamani pana sa isi dea seama ca banii au fost furati.

 

Pe langa accesarea PayPal, Stefanko, care a dezvaluit trasaturile troianului intr-un raport publicat astazi, spune ca troianul poate face si alte lucruri:

-Poate afisa suprapuneri la pornirea altor aplicatii care cer detaliile cardului (Google Play, WhatsApp, Viber si Skype)
-Poate afisa o suprapunere la pornirea aplicatiei Gmail, care colecteaza datele de conectare Google
-Poate afisa suprapuneri de conectare la acreditarile phish pentru diferite aplicatii mobile mobile
-Poate intercepta si trimite mesaje SMS; poate sterge toate mesajele SMS;poate altera aplicatia implicita SMS (pentru a ocoli autentificarea cu doua factori bazata pe SMS)
-Poate obtine lista de contacte
-Poate efectua apeluri
-Poate obtine lista cu aplicatiile instalate
-Poate instala aplicatii si le poate rula

 

Majoritatea acestor functii sunt posibile deoarece aplicatiei rau intentionate i se acorda accesul la la serviciul de accesibilitate Android.

 

Aceasta permisiune este folosita de numeroase aplicatii Android malware care functioneaza in zilele noastre, si a fost abuzata de ani de zile. Utilizatorii ar trebui sa aiba mare grija inainte de a aproba orice acces al aplicatiilor la acest serviciu extrem de periculos, in la aplicatiile instalate dintr-o sursa neoficiala.

 

Stefanko a spus ca ESET a notificat PayPal cu privire la aceasta aplicatie si a cerut companiei sa blocheze contul PayPal al autorului malware. Utilizatorii PayPal care cred ca ar putea fi afectati de aceasta aplicatie pot solicita o inversare a tranzactiei prin intermediul Centrului de Solutii PayPal.