Reading Time: 2 minutes

Utilizadores do Paypal são afetados por uma nova vaga de malware no Android.

Um recente trojan concebido para o sistema operativo móvel Android escondido dentro de uma aplicação de optimização de bateria pode roubar dinheiro das contas do PayPal dos utilizadores, revelou a ESET.

Mesmo aqueles utilizadores com o segundo fator de autenticação (2FA) habilitado estão sob a mira dos atacantes.

A aplicação maliciosa denominada Optimization Battery, está atualmente disponível apenas em lojas de aplicações (market places) de terceiros e não na Play Store oficial, o que significa que poucas pessoas tiveram os seus smartphones infetados com este agente de ameaça.

Apesar disso, esta aplicação deve ser considerada perigoso. As razões são que ela possui um sistema automatizado que inicia as transferências de dinheiro do PayPal mesmo debaixo do nariz da vítima, sem lhe dar qualquer hipótese de interromper a transação ilícita.

Durante a instalação, a app solicita acesso à permissão “Acessibilidade” do Android; um recurso muito perigoso que permite que uma app automatize os toques na no ecrã e as interações com o sistema operativo.

Quando o malware se instala no device da vítima, eles permanece em segundo plano até que a vítima aceda a a aplicação legítima do PayPal. O trojan também poderá emitir notificações falsas que convidem a vítima a abrir a aplicação do PayPal. Nesse momento o trojan entrará em ação.

Depois de o utilizador abrir a aplicação do PayPal, o malware fica adormecido por alguns segundos até que o utilizador efetue a autenticação e insira o código 2FA. Depois disso, o malware deteta que a barreira de proteção foi ultrapassada, e realiza o seu comportamento malicioso.

A ESET, empresa de segurança que descobriu este trojan após uma deteção em um dos dispositivos dos seus clientes, disse que o trojan abusa do serviço Acessibilidade para imitar os toques no ecrã como se fosse um utilizador.

O processo automatizado é bastante simples e não demora mais do que 5 segundos. É iniciada uma nova transferência do PayPal, é inserida a conta do PayPal do destinatário, a quantia a ser transferida e, em seguida, a transferência é realizada.

“The whole process takes about 5 seconds, and for an unsuspecting user, there is no feasible way to intervene in time,” ESET malware analyst Lukas Stefanko said today.

Por padrão o trojan tenta desviar 1.000$ cada vez que inicia uma transferência.

Uma vez que este é um trojan automatizado, ele repete o processo sempre que deteta uma autenticação na aplicação legítima do PayPal.

O seguinte vídeo é uma PoC do malware.

Além da funcionalidade de desvio de dinheiro do PayPal, Stefanko publicou num report mais algumas características deste novo trojan:

  • Show overlays when starting other apps that trick the user into handing over his card details (Google Play, WhatsApp, Viber and Skype)
  • Show an overlay when starting the Gmail app that collects Google login credentials
  • Show login overlays to phish credentials for various mobile banking apps
  • Intercept and send SMS messages; delete all SMS messages; change the default SMS app (to bypass SMS-based two-factor authentication)
  • Obtain the contact list
  • Make and forward calls
  • Obtain the list of installed apps
  • Install app, run installed app
  • Start socket communication

Os utilizadores devem estar especialmente atentos às permissões solicitadas pelas aplicações durante a sua instalação e a comportamentos potencial suspeitos durante a utilização do seu dispositivo.

Este é de facto um problema de segurança dificil de resolver, uma vez que o software mal-intencionado utiliza o recurso de acessibilidade para se fazer passar por um utilizador real.