Un nou TROIAN pentru ANDROID care fură bani folosindu-se de PayPal

admin/ ianuarie 10, 2019/ Blog

A apărut un nou virus troian ce afectează utilizatorii de telefoane cu sistem de operare Android. Acesta este mascat sub forma unui instrument de optimizare a bateriei device-ului. Malware-ul odată instalat, fură banii din contul de PayPal al utilizatorului telefonului, dar foloseste şi ferestre de phishing afișate voalat peste aplicațiile legitime precum Google Play, WhatsApp, Skype, Viber și Gmail unde va afişa formulare ce vor solicita detalii despre cardul bancar.

Malware-ul, mascat sub forma unei alte aplicaţii, după instalare, va afişa un icon pe ecranul telefonului. După lansare, aplicaţia maliţioasă se închide automat şi va şterge inclusiv icon-ul din telefon fără a oferi vreun mesaj de eroare sau orice altă natură. Din acest moment ea devine activă în telefon.

În ceea ce priveşte contul de PayPal, dacă utilizatorul telefonului are deja instalată aplicaţia PayPal, malware-ul va afişa o notificare falsă din partea PayPal solicitând utilizatorului să deschidă aplicaţia PayPal pentru a citi notificarea. După dechiderea aplicaţiei PayPal de către utilizator, malware-ul ce este deja activ în telefon, îşi începe activitatea şi va vira bani în contul PayPal al atacatorului. Totul se desfăşoară extrem de rapid, utilizatorul neputând interveni la timp, mai ales dacă ţinem cont de faptul că acesta nici nu bănuieşte că are loc un astfel de atac. Malware-ul reuşeşte să păcălească sistemul de autentifficare al PayPal deoarece totul se desfăşoară de pe telefonul utilizatorului care are instalată aplicaţia PayPal, aplicaţia este deschisă chiar de către utilizator şi autentificarea efectuându-se de însuşi utilizator. Mai mult, atacul se va repeta de fiecare dată când utilizatorul deschide aplicaţia PayPal de pe telefonul infectat, deci paguba va creşte. Atacul va eşua doar dacă utilizatorul de PayPal are sold insuficient în cont sau nu are asociat niciun card bancar la contul PayPal.

Videoclipul de mai jos, pus la dispozitie de catre colegii de la ESET, arată cum se desfăşoară întregul proces prin care are loc furtul.

Cealaltă funcție a malware-ului este de a utiliza ferestre de phishing  afișate voalat peste aplicațiile legitime precum Google Play, WhatsApp, Skype, Viber și Gmail – ferestre suprapuse bazate pe HTML. În aceste ferestre false vor fi afişate formulare ce solicită date despre cardul bancar al utilizatorului. Aceste ferestre de phishing  suprapuse sunt afişate în ecranul principal fără a putea folosi butoanele BACK sau HOME pentru a le închide, singura posibilitate fiind completarea formularului fals afişat şi trimiterea acestuia. Unul din avantaje, dacă putem numi aşa, este faptul că se poate trimite şi formularul necompletat, astfel fereastra de phishing dispărând de pe ecranul telefonului. Oricum, aceasta va fi doar o soluiţie de moment deoarece malware-ul este în continuare activ în telefon şi ulterior va reafişa aceste ferestre.

Pe lângă cele două funcții de bază descrise mai sus, și în funcție de comenzile primite de la atacator, malware-ul mai poate desfăşura şi alte acţiuni precum:

  • să instaleze și să lanseze alte aplicaţii;
  • să intercepteze și să trimită mesaje SMS, să schimbe aplicația implicită pentru SMS-uri pentru a păcăli autentificarea cu doi factori bazată pe SMS;
  • să obțină lista de contacte a utilizatorului;
  • să iniţieze apeluri de pe telefonul utilizatorului.

Acest malware foloseşte serviciile de accesibilitate ale telefonului pentru a împiedica tentativele de dezinstalare sau de instalare a vreunie aplicaţii antivirus. În acest moment, cea mai sigură variantă de a scăpa de acest troian este resetarea totală a telefonului fără opţiunea de reinstalare automată a aplicaţiilor utillizate sau de restaurare a backup-urilor.

Pentru cei care au fost afectaţi de acest troian sau alţii similari, recomand ca pe lângă resetarea completă a telefonului, să schimbe toate parolele aplicaţiilor ce au alocat un card bancar – PayPal, Internet Banking, Gmail, etc.

Pentru prevenirea unor astfel de infectări pe viitor, recomand:

  • descărcarea şi instalarea aplicaţiilor să se facă doar din magazinul oficial Google Play sau cele oficiale ale producatorilor de telefoane cum ar fi Samsung APP, Huawei AppGallery, etc;
  • verificarea obligatorie a permisiunilor ce le solicită respectiva aplicaţie;
  • citirea recenziilor pentru respectiva aplicaţie deoarece din aceste recenzii se pot afla foare multe informaţii;
  • actualizarea la zi a sistemului de operare Android;
  • utilizarea unei aplicaţii de securitate mobilă (versiunile PRO, nu versiuni FREE sau TRIAL).

Desigur, nu trebuie uitat nici faptul că orice notificare primită, sub orice formă, să fie analizată cât de cât înainte a i se da curs. Atacatorii mizează în special pe faptul că utilizatorul-victimă nu acordă atenţia cuvenită notificării afişate, nu citeşte în totalitate mesajul afişat sau nu analizează cât de cât un astfel de mesaj.

Una din aplicaţiile folosite cu succes pe telefoanele cu sistem de operare Android şi care vă poate proteja în foarte multe cazuri de astfel de atacuri, este ESET Mobile Security, aplicaţie ce poate fi descărcată din magazinul Google Play. Licenţa se poate cumpăra direct de pe Google Play sau daca nu aveţi alocat un card bancar contului de Google, contactaţi-ne pentru a comanda direct la noi.

Share this Post