ΟLos investigadores de ESET han descubierto un nuevo troyano de Android, que apunta a la aplicación oficial de PayPal y es capaz de eludir la autenticación de PayPal de dos factores.
El troyano, detectado por primera vez por ESET en noviembre de 2018, combina las capacidades de un troyano bancario controlado de forma remota con una nueva forma de abuso de la accesibilidad de Android dirigida a los usuarios de la aplicación oficial de PayPal. Hasta ahora, el malware aparece como una herramienta para optimizar la duración de la batería y se distribuye a través de tiendas de aplicaciones de terceros.
Una vez instalada, la aplicación maliciosa finaliza sin proporcionar ninguna funcionalidad y su icono desaparece. Más allá de eso, los investigadores encontraron que continúa de dos maneras.
El disfraz que usa el malware en esta etapa
En la primera forma, el malware muestra una notificación pidiendo al usuario que lo inicie. Una vez que el usuario abre la aplicación de PayPal e inicia sesión, el servicio de acceso malicioso (si el usuario lo habilitó previamente) imita los clics del usuario para enviar dinero a la dirección de PayPal del atacante.
Según los investigadores, la aplicación intentó transferir 1.000 euros, sin embargo, la moneda utilizada depende de la ubicación del usuario. Todo el proceso dura unos 5 segundos y, para un usuario desprevenido, no hay forma de intervenir a tiempo.
Debido a que el malware no se basa en robar las credenciales de inicio de sesión de PayPal y, en su lugar, espera a que los usuarios inicien sesión ellos mismos, puede eludir la autenticación de dos factores de PayPal. El ataque falla solo si el usuario tiene un saldo de PayPal insuficiente y no ha conectado una tarjeta de pago a su cuenta.
PayPal ha sido notificado por ESET sobre el malware utilizado por este troyano y qué cuenta de PayPal utiliza el atacante para obtener el dinero robado.
En la segunda forma, las aplicaciones maliciosas muestran cinco aplicaciones legítimas cubiertas por la pantalla: Google Play, WhatsApp, Skype, Viber y Gmail, pero los usuarios no pueden cerrarlas a menos que se complete un formulario de datos falso. Los investigadores encontraron que incluso con el envío de información falsa, la pantalla desaparecía.
Sin embargo, el código de malware contiene cadenas que afirman que el teléfono de la víctima se ha bloqueado para ver pornografía infantil y solo se puede desbloquear si se envía un correo electrónico a una dirección específica.
Pantallas superpuestas maliciosas para Google Play, WhatsApp, Viber y Skype
Captura de pantalla de superposición maliciosa para las credenciales de Gmail
Además de estas dos funciones básicas, y dependiendo de los comandos que reciba del servidor C&C, el malware también puede enviar o borrar SMS, descargar contactos, realizar o desviar llamadas, instalar y ejecutar aplicaciones, etc.
ESET aconseja a los usuarios que han instalado el troyano que verifiquen su cuenta bancaria en busca de transacciones sospechosas y que cambien sus códigos bancarios por Internet, PIN y contraseñas de Gmail. En caso de transacciones de PayPal no autorizadas, pueden informar el problema al Centro de análisis de PayPal.
Para los usuarios de dispositivos que no se pueden usar debido a la superposición de la pantalla, ESET recomienda que use el modo seguro de Android y elimine la aplicación llamada "Optimización de Android" en la sección Administrador de aplicaciones / Aplicaciones en la configuración del dispositivo.
Para estar a salvo del malware de Android en el futuro, ESET recomienda que los usuarios:
• Solo confíe en la tienda oficial de Google Play para descargar aplicaciones.
• Verifique la cantidad de instalaciones, calificaciones y contenido de reseñas antes de descargar aplicaciones de Google Play.
• Tenga cuidado con los permisos de las aplicaciones que instalan.
• Mantenga actualizado su dispositivo Android y utilice una solución de seguridad móvil confiable.
