Троян викрадає гроші користувачів Android з облікових записів PayPal

Компанія ESET — експерт у галузі інформаційної безпеки — повідомляє про виявлення нового Android трояна, націленого на користувачів офіційного додатка PayPal. Шкідливе програмне забезпечення поєднує в собі можливості дистанційного управління банківським трояном та нові можливості шкідливого використання служб спеціальних можливостей Android.

Якщо на інфікованому пристрої було встановлено офіційний додаток PayPal, шкідливе програмне забезпечення відображало сповіщення, яке спонукало користувача відкрити цей додаток. Коли користувач відкривав додаток PayPal та здійснював вхід до системи, зловмисники, використовуючи шкідливі спеціальні можливості (якщо перед цим вони були активовані користувачем), повторювали та імітували кліки користувача, щоб надіслати гроші жертви на PayPal адресу зловмисника.

Оскільки шкідливе програмне забезпечення орієнтується не на крадіжку облікових даних для входу в PayPal та щоб не чекати поки користувачі відкриють офіційний додаток PayPal, троян обходить систему двофакторної аутентифікації PayPal. Користувачі з двофакторною аутентифікацією просто виконують ще один крок у процесі входу в систему, але в кінцевому підсумку вони є такими ж уразливими до атаки трояна, як і ті, хто не використовує аутентифікацію.

Крім цього, деякі з функцій зловмисного програмного забезпечення полягають у використанні фішингових екранів, які відображаються замість легітимних додатків. За замовчуванням шкідливі програми завантажують створені в HTML екрани для п'яти програм — Google Play, WhatsApp, Skype, Viber та Gmail. Однак цей список є початковим та може змінитися в будь-який момент.

Чотири з п'яти накладених фішингових екранів націлені на визначення деталей кредитної картки (рис. 3); ще один екран націлений на Gmail та з’являється після входу в обліковий запис Gmail (рис. 4). Дослідники ESET вважають, що це пов'язано з особливостями функціонування PayPal, оскільки PayPal надсилає повідомлення на електронну пошту про кожну завершену транзакцію. Маючи доступ до облікового запису Gmail жертви, зловмисники могли видалити такі листи, щоб мати можливість довше залишатися непоміченими користувачами.

Якщо ви встановили троян, націлений на PayPal, спеціалісти ESET рекомендують змінити пароль кредитної картки, паролі для входу в Інтернет-банкінг, перевірити свої банківські рахунки на наявність підозрілої активності, а також змінити пароль обліково запису Gmail. У випадку виявлення незвичайних операцій, ви можете повідомити про проблему в службу підтримки PayPal. Для пристроїв, які непридатні для використання через накладення фальшивого екрана блокування, спеціалісти ESET рекомендують використовувати безпечний режим Android та видалити додаток під назвою «Оптимізація Android» у розділі «Налаштування»>«Загальні»>Управління програмами/Програми.

Варто зазначити, що продукти ESET виявляють та блокують шкідливі програми, як Android/Spy.Banker.AJZ та Android/Spy.Banker.AKB.

Для уникнення інфікування пристроїв подібним фальшивим банківським програмним забезпеченням націленим на Android  спеціалісти ESET рекомендують користувачам:

  • Завантажувати додатки лише з офіційного магазину Google Play
  • Під час завантаження додатків із Google Play звертати увагу на кількість завантажень, оцінку програм та відгуки
  • Звертати увагу на те, які дозволи ви надаєте встановленим додаткам
  • Регулярно оновлювати програмне забезпечення та використовувати надійні рішення для захисту пристроїв

Більш детальна інформація про загрозу надана у дослідженні за посиланням.