ΟLes chercheurs d'ESET ont découvert un nouveau cheval de Troie Android, qui cible l'application PayPal officielle et est capable de contourner l'authentification PayPal à deux facteurs.
Le cheval de Troie, détecté pour la première fois par ESET en novembre 2018, combine les capacités d'un cheval de Troie bancaire contrôlé à distance avec une nouvelle forme d'abus de l'accessibilité Android ciblant les utilisateurs de l'application officielle PayPal. Jusqu'à présent, le malware apparaît comme un outil d'optimisation de la durée de vie de la batterie et est distribué via des magasins d'applications tiers.
Une fois installée, l'application malveillante se termine sans fournir aucune fonctionnalité et son icône disparaît. Au-delà de cela, les chercheurs ont découvert que cela se poursuit de deux manières.
Le déguisement utilisé par le malware à ce stade
Dans un premier temps, le malware affiche une notification demandant à l'utilisateur de le lancer. Une fois que l'utilisateur ouvre l'application PayPal et se connecte, le service d'accès malveillant (s'il a déjà été activé par l'utilisateur) imite les clics de l'utilisateur pour envoyer de l'argent à l'adresse PayPal de l'attaquant.
Selon les chercheurs, l'application a tenté de transférer 1.000 5 euros, cependant, la devise utilisée dépend de la localisation de l'utilisateur. L'ensemble du processus prend environ XNUMX secondes, et pour un utilisateur sans méfiance, il n'y a aucun moyen d'intervenir à temps.
Étant donné que les logiciels malveillants ne reposent pas sur le vol des identifiants de connexion PayPal et attendent plutôt que les utilisateurs se connectent eux-mêmes, ils peuvent contourner l'authentification à deux facteurs de PayPal. L'attaque échoue uniquement si l'utilisateur a un solde PayPal insuffisant et n'a pas connecté de carte de paiement à son compte.
PayPal a été informé par ESET du malware utilisé par ce cheval de Troie et du compte PayPal utilisé par l'attaquant pour obtenir l'argent volé.
Dans le second cas, les applications malveillantes affichent cinq applications légitimes couvertes d'écran - Google Play, WhatsApp, Skype, Viber et Gmail, mais ne peuvent pas être fermées par les utilisateurs à moins qu'un faux formulaire de données ne soit rempli. Les chercheurs ont découvert que même avec la soumission de fausses informations, l'écran disparaissait.
Cependant, le code malveillant contient des chaînes qui prétendent que le téléphone de la victime a été verrouillé pour visionner de la pédopornographie et ne peut être déverrouillé que si un e-mail est envoyé à une adresse spécifique.
Écrans de superposition malveillants pour Google Play, WhatsApp, Viber et Skype
Pêche d'écran de superposition malveillante pour les informations d'identification Gmail
En plus de ces deux fonctions de base, et selon les commandes qu'il reçoit du serveur C&C, le malware peut également envoyer ou supprimer des SMS, télécharger des contacts, passer ou transférer des appels, installer et exécuter des applications, etc.
ESET conseille aux utilisateurs qui ont installé le cheval de Troie de vérifier leur compte bancaire pour les transactions suspectes et de modifier leurs codes bancaires Internet, leurs codes PIN et leurs mots de passe Gmail. En cas de transactions PayPal non autorisées, ils peuvent signaler le problème au Centre d'analyse PayPal.
Pour les utilisateurs d'appareils qui ne peuvent pas être utilisés en raison de la superposition d'écran, ESET vous recommande d'utiliser le mode sans échec d'Android et de supprimer l'application appelée « Optimisation Android » dans la section Gestionnaire d'applications / Applications dans les paramètres de l'appareil.
Pour être à l'abri des logiciels malveillants Android à l'avenir, ESET recommande aux utilisateurs :
• Ne faites confiance qu'au Google Play Store officiel pour télécharger des applications.
• Vérifiez le nombre d'installations, les notes et le contenu des avis avant de télécharger des applications depuis Google Play.
• Soyez prudent avec les autorisations des applications qu'ils installent.
• Gardez leur appareil Android à jour et utilisez une solution de sécurité mobile fiable.
