Специалисты компании ESET обнаружили трояна для Android, маскировавшегося под приложение для оптимизации работы батареи Optimization Battery. К счастью, в настоящее время вредонос был замечен только в сторонних каталогах приложений, но не в официальном Google Play. Данная малварь способна похищать деньги с аккаунтов PayPal, даже несмотря на включенную двухфакторную аутентификацию.
Схема, которую вредонос использует для атак, очень проста. Во время установки троян запрашивает у владельца устройства права на использование специальных возможностей ОС (Accessibility Service), что в будущем позволяет ему автоматически имитировать нажатия и другие действия пользователя.
При этом малварь не стремится злоупотреблять полученными правами сразу же. Вместо этого троян терпеливо ждет, когда пользователь запустит официальное приложение PayPal (самостоятельно или следуя фальшивым уведомлением, полученным от малвари). Как только пользователь введет в приложение свои учетные данные, а также код двухфакторной аутентификации (если таковая включена), троян активизируется и задействует специальные возможности.
Малварь инициирует новый перевод через PayPal, вводит данные об аккаунте получателя и моментально одобряет эту операцию. Всё в сумме занимает около пяти секунд, не оставляя пользователю почти никаких шансов помешать происходящему. Видео ниже демонстрирует атаку трояна в жизни и объясняет, почему пользователь может даже сразу не заметить случившееся (спойлер: все происходит действительно быстро).
Троян свершает такие автоматические платежи, каждый раз, когда пользователь запускает приложение PayPal. Единственная ситуация, в которой атака может не удаться, это если на счету жертвы недостаточно средств.
Специалисты ESET предупреждают, что помимо вышеописанной функциональности данный вредонос обладает и другими опасными функциями (в основном, благодаря Android Accessibility), среди которых:
В настоящее время исследователи ESET уже связались с PayPal и попросили компанию блокировать учетную запись автора вредоноса. Пользователям, которые полагают, что пострадали от действий этого трояна, рекомендуют обратиться в поддержку PayPal.
Читайте также
Последние новости