O sistema operativo móvel da Google é um dos principais alvos dos piratas informáticos. Na loja de aplicações são várias as apps que têm vindo a ser removidas e há agora a informação da existência de uma ameaça para os utilizadores que usem o PayPal e não só…
Segundo uma descoberta da ESET, há um malware/trojan para Android capaz de aceder à conta do PayPal e roubar dinheiro aos utilizadores.
O sistema operativo Android volta a ser alvo de um esquema que via roubar dinheiro aos utilizadores. Os investigadores da ESET descobriram a existência de um novo trojan que recorre a uma nova técnica de abuso da acessibilidade que é capaz de contornar inclusive a autenticação a dois fatores do PayPal.
Como funciona?
O trojan vem camuflado dentro de uma app de otimização de bateria que não está disponível na loja de aplicações oficial da Google. Depois de executada a app, esta é encerrada sem disponibilizar nenhuma funcionalidade e inclusive oculta o ícone.
Para atingir os objetivos “mal-intencionados”, o malware combina recursos de um Trojan bancário controlado remotamente com um serviço de acessibilidade mal-intencionado, direcionado a app oficial do PayPal.
A principal função do malware é roubar dinheiro das contas do PayPal das suas vítimas. Para isso solicita ao utilizador a ativação de um serviço de acessibilidade malicioso.
De seguida o trojan verifica se o utilizador tem alguma conta Paypal e se sim é exibido um alerta de notificação (com o título Optimization Android) solicitando a confirmação dos dados da conta. Caso o utilizador dê seguimento ao processo, os dados serão capturados e transmitidos remotamente para os atacantes.
Veja como tudo funciona no seguinte vídeo
Além de solicitar a ativação de um serviço de acessibilidade malicioso e de conseguir desviar dinheiro do Paypal, este malware utiliza também interfaces alteradas, de phishing, que são secretamente apresentadas em apps legítimas.
Por omissão, o malware faz o download de interfaces de sobreposição baseadas em HTML para cinco apps – Google Play, WhatsApp, Skype, Viber e Gmail -, mas essa lista inicial pode ser atualizada dinamicamente a qualquer momento.
Além das duas funções principais descritas acima e dependendo dos comandos recebidos de seu servidor C & C, o malware também pode:
- Intercetar e enviar mensagens SMS; excluir todas as mensagens SMS; alterar a app SMS padrão (para ignorar a autenticação de dois fatores baseada em SMS)
- Obter a lista de contactos
- Realizar e encaminhar chamadas
- Obter a lista de apps instalados
- Instalar apps e executá-las
- Iniciar comunicações via sockets
Para se manter mais seguro, a ESET aconselha apenas a instalação de apps do Google Play (apesar de sabermos que nem todas são seguras), validar o número de downloads, ver classificações das apps e os comentários. Esteja atento também às permissões que concede. Mantenha o seu dispositivo Android atualizado e use uma solução confiável de segurança para dispositivos móveis.
Os produtos da ESET detetam essas ameaças como Android / Spy.Banker.AJZ e Android / Spy.Banker.AKB.
Leia também…