ΟИстраживачи компаније ЕСЕТ открили су новог тројанца за Андроид, који циља на званичну ПаиПал апликацију и који је способан да заобиђе двофакторску ПаиПал аутентификацију.
Тројанац, који је ЕСЕТ први пут открио у новембру 2018, комбинује могућности даљински контролисаног банкарског тројанца са новим обликом злоупотребе приступачности Андроид-а који циља на кориснике званичне апликације ПаиПал. До сада се злонамерни софтвер појављује као алат за оптимизацију трајања батерије и дистрибуира се кроз продавнице апликација трећих страна.
Једном инсталирана, злонамерна апликација престаје да нуди никакву функционалност и њена икона нестаје. Осим тога, истраживачи су открили да се наставља на два начина.
Прерушавање које злонамерни софтвер користи у овој фази
На први начин, малвер приказује обавештење које тражи од корисника да га покрене. Једном када корисник отвори апликацију ПаиПал и пријави се, услуга злонамерног приступа (ако је корисник претходно омогућио) опонаша кликове корисника за слање новца на ПаиПал адресу нападача.
Према речима истраживача, апликација је покушала да пребаци 1.000 евра, међутим, валута која се користи зависи од локације корисника. Цео процес траје око 5 секунди, а за несуђеног корисника нема начина да интервенише на време.
Пошто се малвер не ослања на крађу ПаиПал акредитива за пријаву и уместо тога чека да се корисници сами пријаве, може заобићи ПаиПал-ову двофакторску аутентификацију. Напад не успева само ако корисник нема довољно ПаиПал стања и није повезао платну картицу са својим налогом.
ЕСЕТ је обавестио ПаиПал о малверу који користи овај тројанац и који ПаиПал налог нападач користи да би дошао до украденог новца.
На други начин, злонамерне апликације приказују пет легитимних апликација прекривених екраном – Гоогле Плаи, ВхатсАпп, Скипе, Вибер и Гмаил, али их корисници не могу затворити осим ако се не попуни образац за лажне податке. Истраживачи су открили да је чак и са подношењем лажних информација екран нестао.
Међутим, код злонамерног софтвера садржи низове који тврде да је телефон жртве закључан за гледање дечје порнографије и да се може откључати само ако се е-порука пошаље на одређену адресу.
Злонамерни преклопни екрани за Гоогле Плаи, ВхатсАпп, Вибер и Скипе
Злонамерно преклапање екрана за Гмаил акредитиве
Поред ове две основне функције, у зависности од команди које прима од Ц&Ц сервера, малвер такође може да шаље или брише СМС, преузима контакте, упућује или преусмерава позиве, инсталира и покреће апликације итд.
ЕСЕТ саветује корисницима који су инсталирали тројанац да провере свој банковни рачун за сумњиве трансакције и промене своје кодове за интернет банкарство, ПИН-ове и Гмаил лозинке. У случају неовлашћених ПаиПал трансакција, они могу пријавити проблем ПаиПал центру за анализу.
За кориснике уређаја који не могу да се користе због преклапања екрана, ЕСЕТ препоручује да користите безбедни режим Андроид-а и уклоните апликацију под називом „Андроид Оптимизација“ у одељку Менаџер апликација / Апликације у подешавањима уређаја.
Да би се у будућности заштитили од Андроид малвера, ЕСЕТ препоручује корисницима да:
• Верујте само званичној Гоогле Плаи продавници за преузимање апликација.
• Проверите број инсталација, оцене и садржај рецензија пре преузимања апликација са Гоогле Плаи-а.
• Будите пажљиви са дозволама апликација које инсталирају.
• Одржавајте свој Андроид уређај ажурним и користите поуздано решење за безбедност мобилних уређаја.
