Android: un troian fură bani prin aplicația oficială PayPal


Există un nou virus troian ce vizează utilizatorii de Android, la care ar trebui să fiți foarte atenți.

Acest malware, detectat pentru prima oară de ESET în noiembrie 2018, îmbină capacitățile unui troian bancar controlat în mod remote și utilizarea abuzivă a serviciilor de accesibilitate Android, pentru a targeta direct utilizatorii aplicației oficiale PayPal.

Malware-ul este deghizat sub forma unui instrument de optimizare a bateriei și este distribuit prin intermediul magazinelor de aplicații ale unor terți.

Figura 1 - Aplicația malware în cauză

Cum funcționează?

După ce este lansată, aplicația malițioasă se închide fără a oferi vreo funcționalitate și își șterge automat iconița din telefon. Din acest punct, operațiunea se desfășoară în două etape principale, așa cum este descris în secțiunile următoare.

Serviciu de accesibilitate malițios care vizează PayPal

Prima funcție a malware-ului, furtul de bani din conturile PayPal ale victimelor sale, necesită activarea unui serviciu de accesibilitate rău intenționat. După cum se poate observa în Figura 2, această solicitare este prezentată utilizatorului ca fiind din serviciu de "Activare a statisticilor".

Figura 2 - Solicitarea de activare a serviciului de accesibilitate, deghizat ca "Activați statisticile" (Enable statistics)

Dacă utilizatorul are deja instalată aplicația oficială PayPal, malware-ul afișează o alertă de notificare prin care îi solicită acestuia să o deschidă. După ce utilizatorul deschide aplicația PayPal și se conectează, serviciul de accesibilitate malițios (activat anterior de utilizator) își preia rolul și imită click-urile utilizatorului, pentru a vira bani spre contul PayPal al atacatorului.

În timpul analizei noastre, aplicația a încercat să facă un transfer de 1000 de euro, însă moneda utilizată depinde de locația utilizatorului. Întregul proces durează aproximativ 5 secunde, iar pentru un utilizator nebănuitor, nu există nicio cale să intervină la timp.

Deoarece malware-ul nu se bazează pe furtul credențialelor de login PayPal și, în schimb, așteaptă ca utilizatorul să se logheze el înșuși în aplicația oficială PayPal, reușește astfel să păcălească și sistemul de autentificare cu doi factori al PayPal (2FA). Utilizatorii care au optat pentru 2FA au de completat un pas suplimentar în procesul de autentificare, însă ajung să fie la fel de vulnerabili în fața acestui troian ca cei care nu se bazează pe acest sistem.

Videoclipul de mai jos demonstrează întregul proces prin care are loc furtul.

Atacul se dovedește un eșec doar dacă utilizatorul are solduri PayPal insuficiente sau nu are niciun card de plată asociat contului. Serviciul de accesibilitate rău intenționat este activat de fiecare dată când aplicația PayPal este lansată, adică atacul ar putea avea loc chiar de mai multe ori.

Am informat PayPal în legătură cu tehnica malitioasă folosită de acest troian și contul PayPal folosit de atacator în care au fost virate fondurile furate.

Troian bancar bazat pe atacuri de tip overlay

O funcție secundară a malware-ului utilizează ferestre de phishing afișate voalat peste aplicațiile legitime.

Malware-ul descarcă în mod implicit ferestre suprapuse bazate pe HTML pentru cinci aplicații - Google Play, WhatsApp, Skype, Viber și Gmail - iar această listă poate fi actualizată în orice moment.

Patru dintre cele cinci ecrane sunt formulare ce vă solicită detaliile cardului de credit (Figura 3); a 5-a fereastră vizează Gmail și solicită datele de conectare la platformă (Figura 4). Noi suspectăm că acest lucru are de-a face cu faptul că PayPal trimite notificări prin e-mail pentru fiecare tranzacție finalizată. Având acces la contul de Gmail al victimei, atacatorii ar putea șterge astfel de e-mail-uri pentru a trece neobservați mai mult timp.

Figura 3 - Ferestrele suprapuse pentru Google Play, WhatsApp, Viber și Skype, care solicită detalii cardului de credit

Figura 4 - Ferestrele suprapuse ce solicită credențialele Gmail

Am găsit, de asemenea, ferestre suprapuse pentru aplicații bancare legitime ce solicitau credențialele de login la conturile victimelor de internet banking (Figura 5).

Figura 5 - Fereastră suprapusă pentru aplicația de Mobile Banking a NAB (Bank of Australia)

Spre deosebire de suprapunerile utilizate de majoritatea troienilor bancari Android, acestea sunt afișate în primul ecran principal - o tehnică utilizată și de ransomware-urile Android. Acest lucru împiedică victimele să închidă ferestrele suprapuse, prin apăsarea butoanelor de back sau home. Singura modalitate de a trece de acest ecran suprapus este să completați formularul fals. Este de reținut că se pot trimite și formulare necompletate, dispărând astfel fereastra.

Conform analizei noastre, autorii acestui troian au căutat și alte folosințe pentru acest mecanism de suprapunere a ecranului. Codul malware conține secvențe ce pretind că telefonul victimei a fost blocat pentru afișarea de pornografie infantilă și poate fi deblocat prin trimiterea unui e-mail la o adresă specificată. Astfel de tehnici amintesc de atacurile ransomware antecedente de pe dispozitivele mobile, în care victimele erau făcute să creadă că dispozitivele lor au fost blocate din cauza unor sancțiunilor ale poliției. Nu este clar dacă atacatorii din spatele acestui troian intenționează, de asemenea, să sustragă bani de la victime sau dacă această funcționalitate ar fi fost o diversiune pentru alte acțiuni rău intenționate, care se întâmplau pe fundal.

Pe lângă cele două funcții de bază descrise mai sus, și în funcție de comenzile primite de la serverul C&C, malware-ul poate de asemenea:

  • Să intercepteze și să trimită mesaje SMS; să șteargă toate mesajele SMS; să schimbe aplicația implicită pentru SMS-uri (pentru a păcăli autentificarea cu doi factori bazată pe SMS)
  • Să obțină lista de contacte
  • Să efectueze și expedieze apeluri
  • Să obțină lista cu aplicațiile instalate
  • Să instaleze aplicația și să o ruleze
  • Să pornească comunicarea socketului

Troieni ce abuzează de serviciile de accesibilitate infiltrați și în Google Play

Am descoperit, de asemenea, cinci aplicații malware cu capabilități similare în magazinul Google Play, care vizează utilizatorii brazilieni.

Aplicațiile, unele dintre ele raportate și de Dr.Web, eliminate acum din Google Play, sunt la bază instrumente de urmărire a locației altor utilizatori Android. În realitate, aplicațiile utilizează un serviciu de accesibilitate rău intenționat pentru a naviga în aplicațiile legitime ale mai multor bănci braziliene. În afară de asta, troianul respectiv încearcă să sustragă date sensibile prin suprapunerea mai multor aplicații cu site-uri de phishing. Aplicațiile vizate sunt listate în secțiunea IoC din acest blogpost.

Figura 6 - Una dintre aplicațiile rău intenționate de pe Google Play

Interesant este că acești troieni se folosesc, de asemenea, de serviciile de accesibilitate pentru a împiedica tentativele de dezinstalare, prin a da click în mod repetat pe "Înapoi" ori de câte ori este lansată o aplicație țintă (antivirus sau manager de aplicații) sau când sunt detectate secvențe ce sugerează dezinstalarea.

Cum să rămâneți în siguranță

Cei care au instalat aceste aplicații rău intenționate probabil au căzut deja victime ale uneia dintre aceste funcții.

Dacă ați instalat acest troian ce vizează PayPal, vă sfătuim să vă verificați contul bancar pentru tranzacții suspecte și să luați în considerare schimbarea parolei de internet banking/ PIN-ului, precum și parola de Gmail. În cazul în care găsiți tranzacții neautorizate PayPal, puteți raporta problema la Resolution Center.

Pentru cei care nu reușesc să închidă ecranul suprapus afișat de acest troian, vă recomandăm să activați Safe Mode și să dezinstalați aplicația numită "Optimization Android" din Setări> (General)> Manager aplicații/ Aplicații.

Dezinstalarea în Safe Mode este, de asemenea, recomandată utilizatorilor brazilieni care au instalat unul dintre troienii din Google Play.

Pentru a vă proteja în viitor de astfel de malware-uri Android, vă sfătuim să:

  • Optați pentru descărcarea de aplicații doar din magazinul oficial Google Play
  • Verificați întotdeauna numărul de descărcări, evaluările aplicațiilor și conținutul recenziilor înainte de a descărca aplicații din Google Play
  • Fiți atent ce permisiuni acordați aplicațiilor pe care le instalați
  • Păstrați dispozitivul Android actualizat la zi și să utilizați o soluție fiabilă de securitate mobilă; Produsele ESET detectează amenințări precum Android/Spy.Banker.AJZ și Android/Spy.Banker.AKB

Indicatori de compromis (IoC)

Troianul Android care targetează utilizatorii PayPal

SHA-1 Nume
1C555B35914ECE5143960FD8935EA564 Android/Spy.Banker.AJZ

Troian bancar Android care targetează utilizatorii brazilieni

Numele pachetului SHA-1 Nume
service.webview.kiszweb FFACD0A770AA4FAA261C903F3D2993A2 Android/Spy.Banker.AKB
service.webview.webkisz D6EF4E16701B218F54A2A999AF47D1B4 Android/Spy.Banker.AKB
com.web.webbrickd 5E278AAC7DAA8C7061EE6A9BCA0518FE Android/Spy.Banker.AKB
com.web.webbrickz 2A07A8B5286C07271F346DC4965EA640 Android/Spy.Banker.AKB
service.webview.strongwebview 75F1117CABC55999E783A9FD370302F3 Android/Spy.Banker.AKB

Aplicații targetate (suprapuneri phishing)

  • com.uber
  • com.itaucard
  • com.bradesco
  • br.com.bb.android
  • com.netflix
  • gabba.Caixa
  • com.itau
  • Orice aplicație care conține secvența "twitter"

Aplicații targetate (navigare in-app)

  • com.bradesco
  • gabba.Caixa
  • com.itau
  • br.com.bb
  • Orice aplicație care conține secvența "santander"

Aplicații țintă de management al aplicațiilor și antivirusuri 

  • com.vtm.uninstall
  • com.ddm.smartappunsintaller
  • com.rhythm.hexise.uninst
  • com.GoodTools.Uninstalle
  • mobi.infolife.uninstaller
  • om.utils.uninstalle
  • com.jumobile.manager.systemapp
  • com.vsrevogroup.revouninstallermobi
  • oo.util.uninstall
  • om.barto.uninstalle
  • om.tohsoft.easyuninstalle
  • vast.android.mobile
  • om.android.cleane
  • om.antiviru
  • om.avira.andro
  • om.kms.free
Lukas Stefanko December 13, 2018

Lasa un comentariu