ΟCác nhà nghiên cứu của ESET đã phát hiện ra một loại Trojan Android mới, nhắm mục tiêu vào ứng dụng PayPal chính thức và có khả năng vượt qua xác thực PayPal hai yếu tố.
Trojan, lần đầu tiên được phát hiện bởi ESET vào tháng 2018 năm XNUMX, kết hợp các khả năng của một Trojan ngân hàng được điều khiển từ xa với một hình thức lạm dụng khả năng truy cập Android mới nhắm mục tiêu người dùng của ứng dụng PayPal chính thức. Cho đến nay, phần mềm độc hại này xuất hiện như một công cụ để tối ưu hóa tuổi thọ pin và được phân phối thông qua các cửa hàng ứng dụng của bên thứ ba.
Sau khi được cài đặt, ứng dụng độc hại sẽ kết thúc mà không cung cấp bất kỳ chức năng nào và biểu tượng của nó sẽ biến mất. Ngoài ra, các nhà nghiên cứu phát hiện ra rằng nó tiếp tục theo hai cách.
Sự ngụy trang được phần mềm độc hại sử dụng ở giai đoạn này
Theo cách đầu tiên, phần mềm độc hại hiển thị thông báo yêu cầu người dùng khởi chạy nó. Khi người dùng mở ứng dụng PayPal và đăng nhập, dịch vụ truy cập độc hại (nếu người dùng đã bật trước đó) sẽ bắt chước các lần nhấp của người dùng để gửi tiền đến địa chỉ PayPal của kẻ tấn công.
Theo các nhà nghiên cứu, ứng dụng đã cố gắng chuyển 1.000 euro, tuy nhiên, đơn vị tiền tệ được sử dụng phụ thuộc vào vị trí của người dùng. Toàn bộ quá trình diễn ra trong khoảng 5 giây, và đối với một người dùng không nghi ngờ, không có cách nào để can thiệp kịp thời.
Vì phần mềm độc hại không dựa vào việc đánh cắp thông tin đăng nhập PayPal và thay vào đó đợi người dùng tự đăng nhập, nó có thể bỏ qua xác thực hai yếu tố PayPal. Cuộc tấn công chỉ thất bại nếu người dùng không có đủ số dư PayPal và chưa kết nối thẻ thanh toán với tài khoản của mình.
PayPal đã được ESET thông báo về phần mềm độc hại được Trojan này sử dụng và tài khoản PayPal nào mà kẻ tấn công sử dụng để lấy số tiền bị đánh cắp.
Theo cách thứ hai, các ứng dụng độc hại hiển thị năm ứng dụng hợp pháp che màn hình - Google Play, WhatsApp, Skype, Viber và Gmail, nhưng người dùng không thể đóng lại trừ khi điền vào biểu mẫu dữ liệu giả. Các nhà nghiên cứu phát hiện ra rằng ngay cả khi gửi thông tin sai, màn hình vẫn biến mất.
Tuy nhiên, mã phần mềm độc hại chứa các chuỗi khẳng định rằng điện thoại của nạn nhân đã bị khóa để xem nội dung khiêu dâm trẻ em và chỉ có thể được mở khóa nếu một email được gửi đến một địa chỉ cụ thể.
Màn hình lớp phủ độc hại cho Google Play, WhatsApp, Viber và Skype
Đánh cá màn hình lớp phủ độc hại cho thông tin đăng nhập Gmail
Ngoài hai chức năng cơ bản này và tùy thuộc vào các lệnh mà nó nhận được từ máy chủ C&C, phần mềm độc hại cũng có thể gửi hoặc xóa SMS, tải xuống danh bạ, thực hiện hoặc chuyển tiếp cuộc gọi, cài đặt và chạy ứng dụng, v.v.
ESET khuyên người dùng đã cài đặt Trojan nên kiểm tra tài khoản ngân hàng của họ để tìm các giao dịch đáng ngờ và thay đổi mã ngân hàng trực tuyến, mã PIN và mật khẩu Gmail của họ. Trong trường hợp có các giao dịch PayPal trái phép, họ có thể báo cáo vấn đề với Trung tâm Phân tích PayPal.
Đối với người dùng thiết bị không thể sử dụng được do lớp phủ màn hình, ESET khuyên bạn nên sử dụng chế độ an toàn của Android và xóa ứng dụng có tên "Tối ưu hóa Android" trong phần Trình quản lý ứng dụng / Ứng dụng trong cài đặt thiết bị.
Để an toàn trước phần mềm độc hại Android trong tương lai, ESET khuyến nghị người dùng:
• Chỉ tin tưởng Cửa hàng Google Play chính thức để tải xuống ứng dụng.
• Kiểm tra số lượt cài đặt, xếp hạng và nội dung đánh giá trước khi tải xuống ứng dụng từ Google Play.
• Hãy cẩn thận với quyền của các ứng dụng mà họ cài đặt.
• Luôn cập nhật thiết bị Android của họ và sử dụng giải pháp bảo mật di động đáng tin cậy.
