De tempos em tempos, alguns trojans foram encontrados no Android, mas este é provavelmente um dos piores. Essa nova ameaça automatiza uma transação do PayPal de US $ 1.000 e a envia usando o próprio aplicativo oficial do PayPal, mesmo para contas correntes de dois pontos (2FA).
Isso é feito usando métodos diferentes e atualizados e utilizando os serviços de acessibilidade do Android. O Trojan está atualmente se escondendo como uma ferramenta de otimização para Android chamada Android Optimization e chegou aos telefones dos usuários através de lojas de terceiros. Além da loja oficial do Play, também existem lojas de terceiros, portanto, conselhos para iniciantes: não use lojas de terceiros. Use apenas a Play Store.
Quando você instala o programa “Otimização Android” (Android Optimization), um serviço chamado “Ativar estatísticas” é criado. Obviamente, esse serviço requer acesso para monitorar as ações do usuário e recuperar o conteúdo do Windows.
Mas em algum lugar as coisas pioram, pois o cavalo de Tróia pode imitar avisos. Cria uma notificação que se parece com esses PayPal solicita que o usuário efetue login.
Quando você clica em notificação, ele abre o aplicativo oficial do PayPal (se instalado) e solicita que o usuário efetue login. Desde que seja uma tentativa legítima de se conectar ao aplicativo oficial do Paypal, o 2FA não faz nada para proteger sua conta, além de enviar um código adicional ao qual você normalmente se conectará quando a colocar.
Uma vez logado, o aplicativo malicioso transferirá US $ 1000 da sua conta do PayPal para o invasor. Esse processo automatizado leva menos de cinco segundos. A ESET fez um vídeo de todo o processo e é muito louco a rapidez com que todo o processo é feito:
Depois de entender o que está acontecendo, é tarde demais para parar. A única coisa que interrompe o processo é que talvez seu saldo no PayPal seja muito baixo e você não tenha adicionado outros métodos de financiamento. Assim, apenas o Paypal cancela a transação devido à falta de dinheiro. Caso contrário, você precisará realizá-lo dentro de uma semana e fazer uma “não aceitação da transação” no Paypal, solicitando que ela investigue e cancele a transação, um processo que leva pelo menos 1 mês.
Mas isso não termina aí. Esse trojan em particular não apenas ataca a conta do usuário do PayPal, mas também usa o recurso Android Screen Overlay para colocar telas de conexão ilegais em aplicativos legítimos.
O Trojan exibe telas de sobreposição de HTML no Google Play, WhatsApp, Skype e Viber e as usa para remover os detalhes do cartão de crédito. Ele também pode criar uma sobreposição do Gmail roubando credenciais de login do usuário.
Embora o ataque de encobrimento esteja atualmente limitado aos aplicativos mencionados acima, a lista pode ser atualizada a qualquer momento, o que significa que esse tipo de ataque pode ser estendido para qualquer lugar para roubar qualquer tipo de informação que o invasor desejar. O serviço We Live Security da ESET enfatiza que o invasor pode explorar outras opções usando a sobreposição.
