Οחוקרי ESET גילו טרויאני אנדרואיד חדש, המכוון לאפליקציית PayPal הרשמית ומסוגל לעקוף אימות דו-גורמי של PayPal.
הטרויאני, שזוהה לראשונה על ידי ESET בנובמבר 2018, משלב את היכולות של טרויאני בנקאי נשלט מרחוק עם צורה חדשה של שימוש לרעה בנגישות אנדרואיד המכוונת למשתמשים באפליקציית PayPal הרשמית. עד כה, התוכנה הזדונית מופיעה ככלי לאופטימיזציה של חיי הסוללה ומופצת דרך חנויות יישומים של צד שלישי.
לאחר ההתקנה, היישום הזדוני מסתיים מבלי להציע פונקציונליות כלשהי והסמל שלו נעלם. מעבר לכך, החוקרים גילו שזה ממשיך בשתי דרכים.
התחפושת המשמשת את התוכנה הזדונית בשלב זה
בדרך הראשונה, התוכנה הזדונית מציגה התראה המבקשת מהמשתמש להפעיל אותה. ברגע שהמשתמש פותח את אפליקציית PayPal ומתחבר, שירות הגישה הזדונית (אם הופעל בעבר על ידי המשתמש) מחקה את הקליקים של המשתמש כדי לשלוח כסף לכתובת ה-PayPal של התוקף.
לדברי החוקרים, האפליקציה ניסתה להעביר 1.000 יורו, אולם המטבע בו נעשה שימוש תלוי במיקום המשתמש. כל התהליך אורך כ-5 שניות, ולמשתמש לא חושד, אין דרך להתערב בזמן.
מכיוון שתוכנה זדונית אינה מסתמכת על גניבת אישורי התחברות של PayPal ובמקום זאת ממתינה למשתמשים שייכנסו לעצמם, היא יכולה לעקוף את האימות הדו-שלבי של PayPal. ההתקפה נכשלת רק אם למשתמש אין יתרת PayPal מספיקה ולא חיבר כרטיס תשלום לחשבונו.
PayPal קיבלה הודעה על ידי ESET על התוכנה הזדונית המשמשת את הטרויאני הזה ובאיזה חשבון PayPal משתמש התוקף כדי להשיג את הכסף הגנוב.
בדרך השנייה, אפליקציות זדוניות מציגות חמש אפליקציות לגיטימיות מכוסות מסך - גוגל פליי, וואטסאפ, סקייפ, Viber וג'ימייל, אך לא ניתן לסגור אותם על ידי משתמשים אלא אם כן ממלאים טופס מידע מזויף. החוקרים גילו שגם עם הגשת מידע כוזב, המסך נעלם.
עם זאת, קוד התוכנה הזדונית מכיל מחרוזות הטוענות שהטלפון של הקורבן ננעל לצפייה בפורנוגרפיית ילדים וניתן לבטל את הנעילה רק אם נשלחת אימייל לכתובת ספציפית.
מסכי שכבת-על זדוניים עבור Google Play, WhatsApp, Viber ו-Skype
דיג מסך עם שכבת-על זדונית עבור אישורי Gmail
בנוסף לשתי הפונקציות הבסיסיות הללו, ובהתאם לפקודות שהיא מקבלת משרת C&C, התוכנה הזדונית יכולה גם לשלוח או למחוק SMS, להוריד אנשי קשר, לבצע או להעביר שיחות, להתקין ולהפעיל אפליקציות וכו'.
ESET מייעצת למשתמשים שהתקינו את הטרויאני לבדוק את חשבון הבנק שלהם לאיתור עסקאות חשודות ולשנות את קודי הבנקאות באינטרנט, מספרי ה-PIN וסיסמאות Gmail שלהם. במקרה של עסקאות לא מורשות של PayPal, הם יכולים לדווח על הבעיה למרכז הניתוח של PayPal.
למשתמשים במכשירים שלא ניתן להשתמש בהם עקב שכבת-על מסך, ESET ממליצה להשתמש במצב בטוח של אנדרואיד, ולהסיר את האפליקציה שנקראת "אופטימיזציה של אנדרואיד" בקטע מנהל האפליקציות / אפליקציות בהגדרות המכשיר.
כדי להיות בטוח מפני תוכנות זדוניות אנדרואיד בעתיד, ESET ממליצה למשתמשים:
• סמוך רק על חנות Google Play הרשמית כדי להוריד אפליקציות.
• בדוק את מספר ההתקנות, הדירוגים והתוכן של ביקורות לפני הורדת אפליקציות מ-Google Play.
• היזהר עם זכויות גישה ליישומים שהם מתקינים.
• שמרו על מכשיר האנדרואיד שלהם מעודכן והשתמשו בפתרון אבטחה אמין לנייד.
