ΟNatuklasan ng mga mananaliksik ng ESET ang isang bagong Android Trojan, na nagta-target sa opisyal na aplikasyon ng PayPal at may kakayahang i-bypass ang dalawang-factor na pagpapatotoo ng PayPal.
Ang Trojan, na unang na-detect ng ESET noong Nobyembre 2018, ay pinagsasama ang mga kakayahan ng isang malayuang kinokontrol na Trojan sa pagbabangko sa isang bagong anyo ng pang-aabuso ng Android accessibility na nagta-target sa mga user ng opisyal na PayPal application. Sa ngayon, lumilitaw ang malware bilang isang tool para sa pag-optimize ng buhay ng baterya at ipinamamahagi sa pamamagitan ng mga third-party na application store.
Kapag na-install na, magwawakas ang nakakahamak na application nang hindi nag-aalok ng anumang pag-andar at mawawala ang icon nito. Higit pa riyan, natuklasan ng mga mananaliksik na nagpapatuloy ito sa dalawang paraan.
Ang disguise na ginamit ng malware sa yugtong ito
Sa unang paraan, nagpapakita ang malware ng notification na humihiling sa user na ilunsad ito. Kapag binuksan ng user ang PayPal application at nag-log in, ginagaya ng nakakahamak na serbisyo sa pag-access (kung dati nang pinagana ng user) ang mga pag-click ng user upang magpadala ng pera sa PayPal address ng umaatake.
Ayon sa mga mananaliksik, sinubukan ng application na maglipat ng 1.000 euros, gayunpaman, ang currency na ginamit ay depende sa lokasyon ng user. Ang buong proseso ay tumatagal ng humigit-kumulang 5 segundo, at para sa isang hindi pinaghihinalaang gumagamit, walang paraan upang mamagitan sa oras.
Dahil ang malware ay hindi umaasa sa pagnanakaw ng mga kredensyal sa pag-log in sa PayPal at sa halip ay naghihintay para sa mga user na mag-log in sa kanilang sarili, maaari nitong lampasan ang dalawang-factor na pagpapatotoo ng PayPal. Ang pag-atake ay nabigo lamang kung ang gumagamit ay walang sapat na balanse sa PayPal at hindi nakakonekta ng isang card sa pagbabayad sa kanyang account.
Ang PayPal ay naabisuhan ng ESET tungkol sa malware na ginagamit ng Trojan na ito at kung aling PayPal account ang ginagamit ng umaatake upang makuha ang ninakaw na pera.
Sa pangalawang paraan, nagpapakita ang mga nakakahamak na app ng limang lehitimong application na sakop ng screen - Google Play, WhatsApp, Skype, Viber at Gmail, ngunit hindi maaaring isara ng mga user maliban kung may napunan na pekeng data form. Nalaman ng mga mananaliksik na kahit na sa pagsusumite ng maling impormasyon, nawala ang screen.
Gayunpaman, ang malware code ay naglalaman ng mga string na nagsasabing ang telepono ng biktima ay naka-lock para sa panonood ng child pornography at maaari lamang i-unlock kung ang isang email ay ipinadala sa isang partikular na address.
Mga nakakahamak na overlay na screen para sa Google Play, WhatsApp, Viber at Skype
Nakakahamak na Overlay Screen Fishing para sa Mga Kredensyal ng Gmail
Bilang karagdagan sa dalawang pangunahing pag-andar na ito, at depende sa mga utos na natatanggap nito mula sa C&C server, ang malware ay maaari ding magpadala o magtanggal ng SMS, mag-download ng mga contact, tumawag o magpasa ng mga tawag, mag-install at magpatakbo ng mga application atbp.
Pinapayuhan ng ESET ang mga user na nag-install ng Trojan na suriin ang kanilang bank account para sa mga kahina-hinalang transaksyon at baguhin ang kanilang mga internet banking code, PIN at password ng Gmail. Sa kaso ng hindi awtorisadong mga transaksyon sa PayPal, maaari nilang iulat ang problema sa PayPal Analysis Center.
Para sa mga user ng mga device na hindi magagamit dahil sa overlay ng screen, inirerekomenda ng ESET na gamitin mo ang safe mode ng Android, at alisin ang application na tinatawag na "Android Optimization" sa seksyong Application manager / Apps sa mga setting ng device.
Upang maging ligtas mula sa Android malware sa hinaharap, inirerekomenda ng ESET na ang mga user ay:
• Magtiwala lamang sa opisyal na Google Play Store upang mag-download ng mga app.
• Suriin ang bilang ng mga pag-install, rating at nilalaman ng mga review bago mag-download ng mga app mula sa Google Play.
• Mag-ingat sa mga karapatan sa pag-access sa mga application na kanilang ini-install.
• Panatilihing napapanahon ang kanilang Android device at gumamit ng maaasahang solusyon sa seguridad sa mobile.
