ΟI ricercatori ESET hanno scoperto un nuovo trojan Android, che prende di mira l'applicazione PayPal ufficiale ed è in grado di aggirare l'autenticazione PayPal a due fattori.
Il trojan, rilevato per la prima volta da ESET nel novembre 2018, combina le capacità di un trojan bancario controllato a distanza con una nuova forma di abuso dell'accessibilità Android rivolta agli utenti dell'applicazione ufficiale PayPal. Finora, il malware appare come uno strumento per ottimizzare la durata della batteria ed è distribuito tramite store di applicazioni di terze parti.
Una volta installata, l'applicazione dannosa si interrompe senza fornire alcuna funzionalità e la sua icona scompare. Oltre a ciò, i ricercatori hanno scoperto che continua in due modi.
Il travestimento utilizzato dal malware in questa fase
Nel primo modo, il malware visualizza una notifica che chiede all'utente di avviarlo. Una volta che l'utente apre l'applicazione PayPal ed effettua l'accesso, il servizio di accesso dannoso (se precedentemente abilitato dall'utente) imita i clic dell'utente per inviare denaro all'indirizzo PayPal dell'attaccante.
Secondo i ricercatori, l'applicazione ha cercato di trasferire 1.000 euro, tuttavia, la valuta utilizzata dipende dalla posizione dell'utente. L'intero processo dura circa 5 secondi e, per un utente ignaro, non c'è modo di intervenire in tempo.
Poiché il malware non si basa sul furto delle credenziali di accesso a PayPal e attende invece che gli utenti accedano autonomamente, può aggirare l'autenticazione a due fattori di PayPal. L'attacco fallisce solo se l'utente ha un saldo PayPal insufficiente e non ha collegato una carta di pagamento al proprio conto.
PayPal è stato informato da ESET del malware utilizzato da questo Trojan e del conto PayPal utilizzato dall'attaccante per ottenere il denaro rubato.
Nel secondo modo, le app dannose visualizzano cinque applicazioni legittime coperte dallo schermo: Google Play, WhatsApp, Skype, Viber e Gmail, ma non possono essere chiuse dagli utenti a meno che non venga compilato un modulo dati falso. I ricercatori hanno scoperto che anche con la presentazione di informazioni false, lo schermo è scomparso.
Tuttavia, il codice malware contiene stringhe che affermano che il telefono della vittima è stato bloccato per la visualizzazione di materiale pedopornografico e può essere sbloccato solo se viene inviata un'e-mail a un indirizzo specifico.
Schermate sovrapposte dannose per Google Play, WhatsApp, Viber e Skype
Schermata di sovrapposizione dannosa che pesca le credenziali di Gmail
Oltre a queste due funzioni di base, e a seconda dei comandi che riceve dal server C&C, il malware può anche inviare o eliminare SMS, scaricare contatti, effettuare o inoltrare chiamate, installare ed eseguire applicazioni ecc.
ESET consiglia agli utenti che hanno installato il Trojan di verificare la presenza di transazioni sospette sul proprio conto bancario e di modificare i codici bancari su Internet, i PIN e le password di Gmail. In caso di transazioni PayPal non autorizzate, possono segnalare il problema al Centro analisi PayPal.
Per gli utenti di dispositivi che non possono essere utilizzati a causa della sovrapposizione dello schermo, ESET consiglia di utilizzare la modalità provvisoria di Android e rimuovere l'applicazione denominata "Ottimizzazione Android" nella sezione Gestione applicazioni/App nelle impostazioni del dispositivo.
Per essere al sicuro da malware Android in futuro, ESET consiglia agli utenti di:
• Affidati solo al Google Play Store ufficiale per scaricare le app.
• Controllare il numero di installazioni, valutazioni e contenuto delle recensioni prima di scaricare app da Google Play.
• Prestare attenzione ai permessi delle applicazioni che installano.
• Mantieni aggiornato il loro dispositivo Android e utilizza una soluzione di sicurezza mobile affidabile.
