ΟESET-tutkijat ovat löytäneet uuden Android-troijalaisen, joka kohdistuu viralliseen PayPal-sovellukseen ja pystyy ohittamaan kaksivaiheisen PayPal-todennuksen.
Troijalainen, jonka ESET havaitsi ensimmäisen kerran marraskuussa 2018, yhdistää kauko-ohjatun pankkitroijalaisen ominaisuudet uuteen Androidin esteettömyyden väärinkäyttöön, joka on kohdistettu virallisen PayPal-sovelluksen käyttäjiin. Toistaiseksi haittaohjelma näkyy työkaluna akun käyttöiän optimointiin, ja sitä levitetään kolmansien osapuolien sovelluskauppojen kautta.
Asennuksen jälkeen haitallinen sovellus sulkeutuu tarjoamatta mitään toimintoja ja sen kuvake katoaa. Tämän lisäksi tutkijat havaitsivat, että se jatkuu kahdella tavalla.
Haittaohjelman tässä vaiheessa käyttämä naamio
Ensinnäkin haittaohjelma näyttää ilmoituksen, jossa pyydetään käyttäjää käynnistämään se. Kun käyttäjä avaa PayPal-sovelluksen ja kirjautuu sisään, haitallinen käyttöpalvelu (jos käyttäjä on aiemmin ottanut sen käyttöön) jäljittelee käyttäjän napsautuksia lähettääkseen rahaa hyökkääjän PayPal-osoitteeseen.
Tutkijoiden mukaan sovellus yritti siirtää 1.000 euroa, mutta käytetty valuutta riippuu käyttäjän sijainnista. Koko prosessi kestää noin 5 sekuntia, eikä pahaa-aavistamaton käyttäjä voi puuttua asiaan ajoissa.
Koska haittaohjelma ei luota PayPalin kirjautumistietojen varastamiseen ja sen sijaan odottaa käyttäjien kirjautumista itse, se voi ohittaa PayPalin kaksivaiheisen todennuksen. Hyökkäys epäonnistuu vain, jos käyttäjällä ei ole tarpeeksi PayPal-saldoa eikä hän ole yhdistänyt tililleen maksukorttia.
ESET on ilmoittanut PayPalille tämän troijalaisen käyttämistä haittaohjelmista ja siitä, mitä PayPal-tiliä hyökkääjä käyttää varastetun rahan hankkimiseen.
Toisella tavalla haitalliset sovellukset näyttävät viisi laillista näytöllä peitettyä sovellusta - Google Play, WhatsApp, Skype, Viber ja Gmail, mutta käyttäjät eivät voi sulkea niitä, ellei väärennettyä tietolomaketta täytä. Tutkijat havaitsivat, että jopa väärien tietojen toimittamisesta näyttö katosi.
Haittaohjelmakoodi sisältää kuitenkin merkkijonoja, jotka väittävät, että uhrin puhelin on lukittu lapsipornografian katselua varten ja että sen lukitus voidaan avata vain, jos sähköposti lähetetään tiettyyn osoitteeseen.
Haitalliset peittonäytöt Google Playlle, WhatsAppille, Viberille ja Skypelle
Haitallinen peittokuva, joka etsii Gmailin kirjautumistietoja
Näiden kahden perustoiminnon lisäksi ja riippuen C&C-palvelimelta saamistaan komennoista haittaohjelma voi myös lähettää tai poistaa tekstiviestejä, ladata yhteystietoja, soittaa tai siirtää puheluita, asentaa ja suorittaa sovelluksia jne.
ESET neuvoo käyttäjiä, jotka ovat asentaneet troijalaisen, tarkistamaan pankkitilinsä epäilyttävien tapahtumien varalta ja vaihtamaan verkkopankkikoodinsa, PIN-koodinsa ja Gmail-salasanansa. Luvattomien PayPal-tapahtumien tapauksessa he voivat ilmoittaa ongelmasta PayPal-analyysikeskukseen.
Niiden laitteiden käyttäjille, joita ei voi käyttää näytön peittokuvan vuoksi, ESET suosittelee käyttämään Androidin vikasietotilaa ja poistamaan "Android Optimization" -nimisen sovelluksen laitteen asetusten Sovellusten hallinta / Sovellukset -osiosta.
Jotta ESET olisi turvassa Android-haittaohjelmilta tulevaisuudessa, se suosittelee, että käyttäjät:
• Luota vain viralliseen Google Play Kauppaan sovellusten lataamiseen.
• Tarkista asennusten määrä, arviot ja arvostelujen sisältö ennen sovellusten lataamista Google Playsta.
• Ole varovainen asentamiensa sovellusten käyttöoikeuksien kanssa.
• Pidä heidän Android-laitteensa ajan tasalla ja käytä luotettavaa mobiilitietoturvaratkaisua.
