A ESET informou que descobriu um Trojan Android que rouba fundos de contas PayPal. Confira os detalhes dessa terrível ameaça.
- PuTTY tem uma vulnerabilidade de alta prioridade
- Como instalar o ProFTPD no CentOS, Fedora, RHEL e derivados
- Como instalar o Warsaw para usar Internet Banking no Linux
A utilização de aplicativos oriundos de fora da Google Play Store sempre foi um problema para o Google, e par os usuários do Android. E agora, isso pode estar piorando.
ESET descobriu um Trojan Android que rouba fundos de contas PayPal
pesquisadores de segurança da ESET descobriram um Trojan Android capaz de usar um serviço de acessibilidade malicioso para roubar fundos de contas protegidas com autenticação de dois fatores do PayPal, e ele vem incorporado em um aplicativo de otimização de bateria distribuído fora da Google Play Store.
Conforme detalhado na análise da ESET, o malware Android também usa sobreposições de phishing exibidas em aplicativos bancários e de mensagens legítimas para roubar informações de cartão de crédito e credenciais de login.
Além disso, para extrair dinheiro das carteiras de usuários do PayPal que instalaram a falsa ferramenta de otimização de bateria, o cavalo de Tróia pede à vítima que ative um serviço de acessibilidade malicioso.
O serviço Android ‘Enable statistics’ (Ativar estatísticas) ativado pelo pedido pedirá ao usuário para iniciar o aplicativo Paypal e, após um login bem-sucedido, ele começará a clicar automaticamente no aplicativo do PayPal, transferindo dinheiro para as contas de seus mestres.
O que é impressionante neste novo ataque é que os maus atores por trás deste Trojan Android descobriram que roubar códigos de autenticação de dois fatores (2FA) consome muito tempo e exige muito esforço e, em vez de desistir, apenas aguardará que suas vítimas façam login e mergulhará para sentir o gosto do dinheiro.
Além disso, este Trojan é especialmente ameaçador, uma vez que o serviço malicioso do Android será iniciado automaticamente toda vez que o aplicativo do PayPal for aberto, levando potencialmente a uma grande quantidade de dinheiro roubado, se fundos suficientes estiverem disponíveis na conta.
As sobreposições de phishing é o segundo método menos perigoso, mas igualmente eficaz, usado por esse Trojan para aproveitar a decisão de suas vítimas de instalá-lo em seus dispositivos Android.
O malware exibirá sobreposições baseadas em HTML no Google Play, WhatsApp, Skype, Viber e Gmail, bem como em alguns aplicativos bancários legítimos para capturar e exfiltrar as credenciais de login.
Como as sobreposições usadas pelo malware são exibidas na tela de bloqueio de primeiro plano, as vítimas precisam preencher os formulários de login para se livrarem dele.
Felizmente, como a ESET afirma, “mesmo entradas aleatórias e inválidas fazem essas telas desaparecerem”.
Além das habilidades de saque e credenciais do PayPal, o Trojan Android analisado pela ESET também é capaz de interferir no processo de entrega do SMS, exfiltrar contatos e instalar listas de aplicativos, fazer e encaminhar chamadas, instalar e iniciar aplicativos, bem como iniciar soquetes de comunicação.
Aplicativos com comportamento semelhante também foram encontrados na Google Play Store, camuflados como serviço de rastreamento de localização e usando serviços de acessibilidade para roubar fundos de bancos brasileiros.
A ESET descobriu anteriormente um Trojan Android semelhante, capaz de usar sobreposições para roubar credenciais bancárias na loja oficial do Google Play, também com a ajuda dos serviços de acessibilidade do Android, mesmo quando a autenticação de dois fatores do SMS era ativada.
