ΟESET-onderzoekers hebben een nieuwe Android-trojan ontdekt, die zich richt op de officiële PayPal-applicatie en in staat is om twee-factor PayPal-authenticatie te omzeilen.
De trojan, voor het eerst gedetecteerd door ESET in november 2018, combineert de mogelijkheden van een op afstand bestuurde trojan voor bankieren met een nieuwe vorm van misbruik van Android-toegankelijkheid die is gericht op gebruikers van de officiële PayPal-applicatie. Tot nu toe verschijnt de malware als een hulpmiddel om de levensduur van de batterij te optimaliseren en wordt deze verspreid via appstores van derden.
Eenmaal geïnstalleerd, wordt de schadelijke toepassing beëindigd zonder enige functionaliteit te bieden en verdwijnt het pictogram ervan. Verder ontdekten de onderzoekers dat het op twee manieren doorgaat.
De vermomming die in dit stadium door de malware wordt gebruikt
Op de eerste manier geeft de malware een melding weer waarin de gebruiker wordt gevraagd om het te starten. Zodra de gebruiker de PayPal-toepassing opent en inlogt, bootst de kwaadwillende toegangsservice (indien eerder ingeschakeld door de gebruiker) de klikken van de gebruiker na om geld naar het PayPal-adres van de aanvaller te sturen.
Volgens de onderzoekers probeerde de applicatie 1.000 euro over te maken, maar de gebruikte valuta is afhankelijk van de locatie van de gebruiker. Het hele proces duurt ongeveer 5 seconden en voor een nietsvermoedende gebruiker is er geen manier om op tijd in te grijpen.
Omdat malware niet afhankelijk is van het stelen van PayPal-inloggegevens en in plaats daarvan wacht tot gebruikers zelf inloggen, kan het de tweefactorauthenticatie van PayPal omzeilen. De aanval mislukt alleen als de gebruiker onvoldoende PayPal-saldo heeft en geen betaalkaart aan zijn account heeft gekoppeld.
PayPal is door ESET op de hoogte gebracht van de malware die door deze trojan wordt gebruikt en welke PayPal-rekening de aanvaller gebruikt om het gestolen geld te verkrijgen.
Op de tweede manier tonen kwaadaardige apps vijf legitieme scherm-bedekte applicaties - Google Play, WhatsApp, Skype, Viber en Gmail, maar kunnen ze niet worden afgesloten door gebruikers tenzij een nepgegevensformulier wordt ingevuld. De onderzoekers ontdekten dat zelfs bij het indienen van valse informatie het scherm verdween.
De malwarecode bevat echter strings die beweren dat de telefoon van het slachtoffer is vergrendeld voor het bekijken van kinderporno en alleen kan worden ontgrendeld als een e-mail naar een specifiek adres wordt verzonden.
Schadelijke overlay-schermen voor Google Play, WhatsApp, Viber en Skype
Schadelijke overlay Screen Fishing voor Gmail-referenties
Naast deze twee basisfuncties, en afhankelijk van de opdrachten die het ontvangt van de C&C-server, kan de malware ook sms-berichten verzenden of verwijderen, contacten downloaden, oproepen plaatsen of doorschakelen, toepassingen installeren en uitvoeren, enz.
ESET adviseert gebruikers die de trojan hebben geïnstalleerd om hun bankrekening te controleren op verdachte transacties en hun codes voor internetbankieren, pincodes en Gmail-wachtwoorden te wijzigen. In het geval van ongeautoriseerde PayPal-transacties kunnen ze het probleem melden aan het PayPal-analysecentrum.
Voor gebruikers van apparaten die niet kunnen worden gebruikt vanwege schermoverlay, raadt ESET aan om de veilige modus van Android te gebruiken en de applicatie genaamd "Android-optimalisatie" te verwijderen in het gedeelte Applicatiebeheer / Apps in de apparaatinstellingen.
Om in de toekomst beschermd te zijn tegen Android-malware, raadt ESET gebruikers aan:
• Vertrouw alleen op de officiële Google Play Store om apps te downloaden.
• Controleer het aantal installaties, beoordelingen en inhoud van recensies voordat u apps downloadt van Google Play.
• Wees voorzichtig met de machtigingen van de applicaties die ze installeren.
• Houd hun Android-apparaat up-to-date en gebruik een betrouwbare mobiele beveiligingsoplossing.
