Szkodliwy program na Androida okradał użytkowników

System operacyjny Android jest najpopularniejszym systemem operacyjnym na świecie, co jest jedną z przyczyn, dla których coraz częściej jest brany na celownik przez cyberprzestępców. Jak donoszą eksperci producenta antywirusowego ESET[1], kolejna niebezpieczna aplikacja oszukuje użytkowników Androida, zachęcając ich do zalogowania się w serwisie PayPal. Program udaje narzędzie optymalizacyjne, które zarządza baterią, ale w rzeczywistości wykonuje inne działania. Warto również wspomnieć, że program ten nie był na szczęście do pobrania w Google Play.

Źródło: https://www.welivesecurity.com/2018/12/11/android-trojan-steals-money-paypal-accounts-2fa/
Źródło: https://www.welivesecurity.com/2018/12/11/android-trojan-steals-money-paypal-accounts-2fa/

Bezpośrednio po uruchomieniu aplikacja kończy swoją pracę, nie oferując żadnej funkcjonalności, a następnie ukrywa swoją ikonę. W celu kradzieży pieniędzy z konta PayPal, szkodnik nakłania użytkownika do włączenia usług dostępności, które są na poniższym obrazku zaprezentowane jako „Use Enable Statistics”. W kolejnym kroku malware wyświetla komunikat, aby użytkownik uruchomił aplikację PayPal (o ile zostanie wykryta na liście zainstalowanych programów) i zalogował się na swoje konto. Szkodnik wykorzystuje zdobyte uprawnienia by wysłać pieniądze na adres PayPal atakującego.

Źródło: https://www.welivesecurity.com/2018/12/11/android-trojan-steals-money-paypal-accounts-2fa/
Źródło: https://www.welivesecurity.com/2018/12/11/android-trojan-steals-money-paypal-accounts-2fa/

Malware nie wykrada danych, ale czeka aż użytkownik zaloguje się sam do aplikacji PayPal. Warto zaznaczyć, że dzięki temu jest w stanie obejść dwuetapową weryfikację.

Działanie jest widoczne na poniższym filmie:

Dodatkowo szkodliwy program może podszyć się pod inne aplikacje np. sklep Google Play, WhatsApp, Skype, Viber, Gmail oraz aplikacje niektórych popularnych banków. Działa to w taki sposób, że po uruchomieniu przez użytkownika jednego z powyższych programów, szkodnik nałoży na niego własne okno, tak by ofiara nie rozpoznała podmiany. W ten sposób dane uwierzytelniające wędrują do atakującego.

Źródło: https://www.welivesecurity.com/2018/12/11/android-trojan-steals-money-paypal-accounts-2fa/
Źródło: https://www.welivesecurity.com/2018/12/11/android-trojan-steals-money-paypal-accounts-2fa/

Jak widać możliwości ataku są duże, dlatego zawsze należy pamiętać o instalowaniu oprogramowania bezpośrednio z zaufanych źródeł (dla Androida jest to Google Play), sprawdzeniu informacji na temat programu i jego reputacji, regularnym aktualizowaniu oprogramowania i opcjonalnej instalacji mobilnego programu antywirusowego.

[1] https://www.welivesecurity.com/2018/12/11/android-trojan-steals-money-paypal-accounts-2fa/