System operacyjny Android jest najpopularniejszym systemem operacyjnym na świecie, co jest jedną z przyczyn, dla których coraz częściej jest brany na celownik przez cyberprzestępców. Jak donoszą eksperci producenta antywirusowego ESET[1], kolejna niebezpieczna aplikacja oszukuje użytkowników Androida, zachęcając ich do zalogowania się w serwisie PayPal. Program udaje narzędzie optymalizacyjne, które zarządza baterią, ale w rzeczywistości wykonuje inne działania. Warto również wspomnieć, że program ten nie był na szczęście do pobrania w Google Play.
Bezpośrednio po uruchomieniu aplikacja kończy swoją pracę, nie oferując żadnej funkcjonalności, a następnie ukrywa swoją ikonę. W celu kradzieży pieniędzy z konta PayPal, szkodnik nakłania użytkownika do włączenia usług dostępności, które są na poniższym obrazku zaprezentowane jako „Use Enable Statistics”. W kolejnym kroku malware wyświetla komunikat, aby użytkownik uruchomił aplikację PayPal (o ile zostanie wykryta na liście zainstalowanych programów) i zalogował się na swoje konto. Szkodnik wykorzystuje zdobyte uprawnienia by wysłać pieniądze na adres PayPal atakującego.
Malware nie wykrada danych, ale czeka aż użytkownik zaloguje się sam do aplikacji PayPal. Warto zaznaczyć, że dzięki temu jest w stanie obejść dwuetapową weryfikację.
Działanie jest widoczne na poniższym filmie:
Dodatkowo szkodliwy program może podszyć się pod inne aplikacje np. sklep Google Play, WhatsApp, Skype, Viber, Gmail oraz aplikacje niektórych popularnych banków. Działa to w taki sposób, że po uruchomieniu przez użytkownika jednego z powyższych programów, szkodnik nałoży na niego własne okno, tak by ofiara nie rozpoznała podmiany. W ten sposób dane uwierzytelniające wędrują do atakującego.
Jak widać możliwości ataku są duże, dlatego zawsze należy pamiętać o instalowaniu oprogramowania bezpośrednio z zaufanych źródeł (dla Androida jest to Google Play), sprawdzeniu informacji na temat programu i jego reputacji, regularnym aktualizowaniu oprogramowania i opcjonalnej instalacji mobilnego programu antywirusowego.
[1] https://www.welivesecurity.com/2018/12/11/android-trojan-steals-money-paypal-accounts-2fa/