Novo cavalo de Troia no Android rouba seu dinheiro através do aplicativo oficial do PayPal

De tempos em tempos, alguns trojans foram encontrados no Android, mas este é provavelmente um dos piores. Essa nova ameaça automatiza uma transação do PayPal de US $ 1.000 e a envia usando o próprio aplicativo oficial do PayPal, mesmo para contas correntes de dois pontos (2FA).

Isso é feito usando métodos diferentes e atualizados e utilizando os serviços de acessibilidade do Android. O Trojan está atualmente se escondendo como uma ferramenta de otimização para Android chamada Android Optimization e chegou aos telefones dos usuários através de lojas de terceiros. Além da loja oficial do Play, também existem lojas de terceiros, portanto, conselhos para iniciantes: não use lojas de terceiros. Use apenas a Play Store.

Quando voc√™ instala o programa “Otimiza√ß√£o Android” (Android Optimization), um servi√ßo chamado “Ativar estat√≠sticas” √© criado. Obviamente, esse servi√ßo requer acesso para monitorar as a√ß√Ķes do usu√°rio e recuperar o conte√ļdo do Windows.

Mas em algum lugar as coisas pioram, pois o cavalo de Tróia pode imitar avisos. Cria uma notificação que se parece com esses PayPal solicita que o usuário efetue login.

Quando você clica em notificação, ele abre o aplicativo oficial do PayPal (se instalado) e solicita que o usuário efetue login. Desde que seja uma tentativa legítima de se conectar ao aplicativo oficial do Paypal, o 2FA não faz nada para proteger sua conta, além de enviar um código adicional ao qual você normalmente se conectará quando a colocar.

Uma vez logado, o aplicativo malicioso transferirá US $ 1000 da sua conta do PayPal para o invasor. Esse processo automatizado leva menos de cinco segundos. A ESET fez um vídeo de todo o processo e é muito louco a rapidez com que todo o processo é feito:

Depois de entender o que est√° acontecendo, √© tarde demais para parar. A √ļnica coisa que interrompe o processo √© que talvez seu saldo no PayPal seja muito baixo e voc√™ n√£o tenha adicionado outros m√©todos de financiamento. Assim, apenas o Paypal cancela a transa√ß√£o devido √† falta de dinheiro. Caso contr√°rio, voc√™ precisar√° realiz√°-lo dentro de uma semana e fazer uma “n√£o aceita√ß√£o da transa√ß√£o” no Paypal, solicitando que ela investigue e cancele a transa√ß√£o, um processo que leva pelo menos 1 m√™s.

Mas isso não termina aí. Esse trojan em particular não apenas ataca a conta do usuário do PayPal, mas também usa o recurso Android Screen Overlay para colocar telas de conexão ilegais em aplicativos legítimos.

O Trojan exibe telas de sobreposição de HTML no Google Play, WhatsApp, Skype e Viber e as usa para remover os detalhes do cartão de crédito. Ele também pode criar uma sobreposição do Gmail roubando credenciais de login do usuário.

Embora o ataque de encobrimento esteja atualmente limitado aos aplicativos mencionados acima, a lista pode ser atualizada a qualquer momento, o que significa que esse tipo de ataque pode ser estendido para qualquer lugar para roubar qualquer tipo de informa√ß√£o que o invasor desejar. O servi√ßo We Live Security da ESET enfatiza que o invasor pode explorar outras op√ß√Ķes usando a sobreposi√ß√£o.