Специалисты компании ESET обнаружили трояна для Android, маскировавшегося под приложение для оптимизации работы батареи Optimization Battery. К счастью, в настоящее время вредонос был замечен только в сторонних каталогах приложений, но не в официальном Google Play. Данная малварь способна похищать деньги с аккаунтов PayPal, даже несмотря на включенную двухфакторную аутентификацию.

Схема, которую вредонос использует для атак, очень проста. Во время установки троян запрашивает у владельца устройства права на использование специальных возможностей ОС (Accessibility Service), что в будущем позволяет ему автоматически имитировать нажатия и другие действия пользователя.

При этом малварь не стремится злоупотреблять полученными правами сразу же. Вместо этого троян терпеливо ждет, когда пользователь запустит официальное приложение PayPal (самостоятельно или следуя фальшивым уведомлением, полученным от малвари). Как только пользователь введет в приложение свои учетные данные, а также код двухфакторной аутентификации (если таковая включена), троян активизируется и задействует специальные возможности.

Малварь инициирует новый перевод через PayPal, вводит данные об аккаунте получателя и моментально одобряет эту операцию. Всё в сумме занимает около пяти секунд, не оставляя пользователю почти никаких шансов помешать происходящему. Видео ниже демонстрирует атаку трояна в жизни и объясняет, почему пользователь может даже сразу не заметить случившееся (спойлер: все происходит действительно быстро).

Троян свершает такие автоматические платежи, каждый раз, когда пользователь запускает приложение PayPal. Единственная ситуация, в которой атака может не удаться, это если на счету жертвы недостаточно средств.

Специалисты ESET предупреждают, что помимо вышеописанной функциональности данный вредонос обладает и другими опасными функциями (в основном, благодаря Android Accessibility), среди которых:

  • показ фишинговых оверлеев для таких приложений, как Google Play, WhatsApp, Viber, Skype и Gmail;
  • фишинговые оверлеи для ряда банковских приложений;
  • возможность перехвата SMS-сообщений и их пересылки, удаление всех SMS, изменение приложения по умолчанию для работы с SMS;
  • похищение списка контактов;
  • совершение и перенаправление вызовов;
  • похищение списка всех установленных приложений;
  • установка и запуск сторонних приложений.

В настоящее время исследователи ESET уже связались с PayPal и попросили компанию блокировать учетную запись автора вредоноса. Пользователям, которые полагают, что пострадали от действий этого трояна, рекомендуют обратиться в поддержку PayPal.

Оставить мнение