Cercetătorii ESET au descoperit un nou troian Android care folosind o tehnică nouă abuzivă privind accesibilitatea care vizează aplicația oficială PayPal este capabilă să ocolească autentificarea cu două factori a PayPal.
Detectat inițial de ESET în noiembrie 2018, malware-ul combină capacitățile unui troian bancar controlat de la distanță cu o utilizare necorespunzătoare a serviciilor de accesibilitate Android, pentru a viza utilizatorii aplicației PayPal oficiale.
Malware-ul este mascat ca instrument de optimizare a bateriei și este distribuit prin intermediul unor magazine de aplicații terțe.
Cum funcționează?
După lansare, aplicația rău intenționată se inchide fără a oferi nicio funcționalitate și ascunde pictograma sa. De atunci, funcționalitatea sa poate fi împărțită în două părți principale, așa cum este descris în secțiunile următoare.
Serviciu de accesibilitate rău intenționat care vizează serviciul PayPal
Prima funcție a malware-ului, furtul de bani din conturile PayPal ale victimelor sale, necesită activarea unui serviciu de accesibilitate rău intenționat. După cum se poate observa în Figura 2, această solicitare este prezentată utilizatorului ca fiind din serviciul “Enable statistics” (“Activați statisticile”).
Figura 2 – Malware care solicită activarea serviciului său de accesibilitate, deghizat ca “Activați statisticile”
Dacă aplicația oficială PayPal este instalată pe dispozitivul compromis, malware-ul afișează o alertă de notificare prin care solicită utilizatorului să o lanseze. După ce utilizatorul deschide aplicația PayPal și se conectează, serviciul de accesibilitate rău intenționat (dacă a fost activat anterior de utilizator) parcurge și imită clicurile utilizatorului pentru a trimite bani pe adresa PayPal a atacatorului.
În timpul analizei, aplicația a încercat să transfere 1000 de euro, însă moneda utilizată depinde de locația utilizatorului. Întregul proces durează aproximativ 5 secunde, iar pentru un utilizator care nu se întreabă, nu există nici o modalitate fezabilă de a interveni în timp.
Deoarece malware-ul nu se bazează pe furtul acreditărilor de conectare PayPal și în schimb așteaptă ca utilizatorii să se înregistreze ei înșiși în aplicația oficială PayPal, de asemenea, ocolește autentificarea cu două factori a PayPal (2FA). Utilizatorii care au activat 2FA au completat pur și simplu un pas suplimentar ca parte a conectării – așa cum ar fi în mod normal – dar ajung să fie la fel de vulnerabili la atacul acestui troian ca cei care nu folosesc 2FA.
Sursa : https://www.welivesecurity.com