ΟESET 研究人员发现了一种新的 Android 木马,它以官方 PayPal 应用程序为目标,能够绕过双因素 PayPal 身份验证。
该木马程序于 2018 年 XNUMX 月首次被 ESET 检测到,它将远程控制的银行木马程序的功能与针对官方 PayPal 应用程序用户的 Android 可访问性滥用新形式相结合。 到目前为止,该恶意软件作为优化电池寿命的工具出现,并通过第三方应用程序商店进行分发。
安装后,恶意应用程序将终止而不提供任何功能,其图标也会消失。 除此之外,研究人员发现它以两种方式继续。
恶意软件现阶段使用的伪装
在第一种方式中,恶意软件会显示一条通知,要求用户启动它。 一旦用户打开 PayPal 应用程序并登录,恶意访问服务(如果用户之前已启用)会模仿用户的点击向攻击者的 PayPal 地址汇款。
据研究人员称,该应用程序试图转移 1.000 欧元,然而,所使用的货币取决于用户的位置。 整个过程大约需要5秒,对于一个毫无戒心的用户来说,是没有办法及时干预的。
由于恶意软件不依赖于窃取 PayPal 登录凭据,而是等待用户自己登录,因此它可以绕过 PayPal 双重身份验证。 只有当用户没有足够的 PayPal 余额并且没有将支付卡连接到他的帐户时,攻击才会失败。
ESET 已通知 PayPal 此木马使用的恶意软件以及攻击者使用哪个 PayPal 帐户获取被盗资金。
在第二种方式中,恶意应用程序显示五个合法的屏幕覆盖应用程序 - Google Play、WhatsApp、Skype、Viber 和 Gmail,但除非填写虚假数据表,否则用户无法关闭。 研究人员发现,即使提交了虚假信息,屏幕也会消失。
但是,恶意软件代码包含字符串,声称受害者的手机已被锁定以查看儿童色情内容,并且只有在向特定地址发送电子邮件时才能解锁。
Google Play、WhatsApp、Viber 和 Skype 的恶意覆盖屏幕
Gmail 凭据的恶意覆盖屏幕钓鱼
除了这两个基本功能外,根据从 C&C 服务器接收到的命令,恶意软件还可以发送或删除短信、下载联系人、拨打或转接电话、安装和运行应用程序等。
ESET 建议安装了木马的用户检查他们的银行账户是否有可疑交易,并更改他们的网上银行代码、PIN 和 Gmail 密码。 如果发生未经授权的 PayPal 交易,他们可以向 PayPal 分析中心报告问题。
对于因屏幕覆盖而无法使用的设备的用户,ESET 建议您使用 Android 的安全模式,并在设备设置的应用程序管理器/应用程序部分中删除名为“Android 优化”的应用程序。
为了将来免受 Android 恶意软件的侵害,ESET 建议用户:
• 仅信任官方 Google Play 商店才能下载应用程序。
• 从 Google Play 下载应用程序之前,请检查安装数量、评分和评论内容。
• 小心他们安装的应用程序的权限。
• 让他们的Android 设备保持最新状态并使用可靠的移动安全解决方案。
