Троян похищает деньги пользователей Android из учетных записей PayPal

Компания ESET — эксперт в области информационной безопасности — сообщает об обнаружении нового Android трояна, нацеленного на пользователей официального приложения PayPal. Вредоносное программное обеспечение сочетает в себе возможности дистанционного управления банковским трояном и новые возможности вредосного использования служб специальных возможностей Android.

Если на инфицированном устройстве установлено официальное приложение PayPal, вредоносное программное обеспечение показывало оповещение, которое побуждало пользователя открыть это приложение. Когда пользователь открывал приложение PayPal и осуществлял вход в систему, злоумышленники, используя вредоносные специальные возможности (если перед этим они были активированы пользователем) повторяли и имитировали клики пользователя для отправки денег жертвы на PayPal адрес злоумышленника.

Поскольку вредоносное программное обеспечение ориентируется не на кражу учетных данных для входа в PayPal и чтобы не ждать пока пользователи откроют официальное приложение PayPal, троян обходит систему двухфакторной аутентификации PayPal. Пользователи с двухфакторной аутентификацией просто выполняют еще один шаг в процессе входа в систему, но в конечном итоге они являются такими же уязвимыми к атаке трояна, как и те, кто не использует аутентификацию.

Кроме этого, некоторые из функций вредоносных программ заключаются в использовании фишинговых экранов, которые отображаются вместо легитимных приложений. По умолчанию вредоносные программы загружают созданные в HTML экраны для пяти программ — Google Play, WhatsApp, Skype, Viber и Gmail. Однако этот список является начальным и может измениться в любой момент.

Четыре из пяти наложенных фишинговых экранов нацелены на определение деталей кредитной карты (рис. 3); еще один экран нацелен на Gmail и появляется после входа в аккаунт Gmail (рис. 4). Исследователи ESET считают, что это связано с особенностями функционирования PayPal, поскольку PayPal отправляет сообщение на электронную почту о каждой завершенной транзакции. Имея доступ к учетной записи Gmail жертвы, злоумышленники могли удалить такие письма, чтобы иметь возможность дольше оставаться незамеченными пользователями.

Если вы установили троян, нацеленный на PayPal, специалисты ESET рекомендуют изменить пароль кредитной карты, пароли для входа в Интернет-банкинг, проверить свои банковские счета на наличие подозрительной активности, а также изменить пароль учетной записи Gmail. В случае выявления необычных операций, вы можете сообщить о проблеме в службу поддержки PayPal. Для устройств, которые непригодны для использования из-за наложения фальшивого экрана блокировки, специалисты ESET рекомендуют использовать безопасный режим Android и удалить приложение под названием «Оптимизация Android» в разделе «Настройки»> «Общие»> Управление программами/Программы.

Стоит отметить, что продукты ESET обнаруживают и блокируют вредоносные программы, как Android/Spy.Banker.AJZ и Android/Spy.Banker.AKB.

Для избежания инфицирования устройств подобным фальшивым банковским программным обеспечением, нацеленным на Android специалисты ESET рекомендуют пользователям:

  • Загружать приложения только из официального магазина Google Play
  • При загрузке приложений из Google Play обращать внимание на количество скачиваний, оценку программы и отзывы
  • Обращать внимание на то, какие разрешения вы предоставляете установленным приложениям
  • Регулярно обновлять программное обеспечение и использовать надежные решения для защиты устройств

Более подробная информация об угрозе доступна в исследовании по ссылке.