Ci sono stati alcuni trojan cattivi trovati su Android, ma questo è probabilmente uno dei peggiori. Questa nuova minaccia automatizza una transazione PayPal per $ 1000 e la invia utilizzando l'app PayPal ufficiale, anche su account con 2FA abilitato.
Il dirottamento di PayPal
Lo fa utilizzando un paio di metodi diversi e sfruttando i servizi di accessibilità di Android. L'app dannosa si sta attualmente nascondendo come uno strumento di ottimizzazione Android e si è fatta strada sui telefoni degli utenti attraverso app store di terze parti. Quindi, per cominciare, non utilizzare app store di terze parti.
Una volta installato, “Ottimizzazione Android” (sul serio, perché dovresti installare qualcosa con un nome come questo in primo luogo?) Crea anche un servizio di accessibilità chiamato “Abilita statistiche”. Richiede quindi l'accesso a questa funzione, che sembra abbastanza innocua: consentirà all'app di monitorare le azioni dell'utente e recuperare il contenuto della finestra. Se pensi che sia tutto nel nome di rendere il tuo telefono più veloce, è così quasi ha senso.
Ma è qui che le cose peggiorano perché ora il trojan può emulare efficacemente i tocchi. Genera una notifica che sembra provenire da PayPal che invita l'utente ad accedere.
Se toccato, questa notifica apre l'app PayPal ufficiale (se installata), quindi non si tratta di un tentativo di phishing. L'app ufficiale si apre e chiede all'utente di accedere. Dato che si tratta di un tentativo di accesso legittimo all'interno dell'app ufficiale, 2FA non fa nulla per proteggere l'account: accederai normalmente, inserendo il tuo codice 2FA quando arriva.
Una volta effettuato l'accesso, l'app dannosa prende il sopravvento, trasferendo $ 1000 dal tuo conto PayPal all'attaccante. Questo processo automatizzato avviene in meno di cinque secondi. We Live Security ha realizzato un video dell'intero processo ed è abbastanza folle quanto velocemente accada:
(Embed) https://www.youtube.com/watch?v=yn04eLoivX8 (/ embed)
Quando ti rendi conto di cosa sta succedendo, è troppo tardi per fermarlo. L'unica cosa che interrompe il processo una volta avviato è se il saldo PayPal è troppo basso e non ci sono altri metodi di finanziamento. Quindi si annulla solo per impostazione predefinita. Altrimenti, sei fuori di testa.
Ma non finisce qui.
The Overlay Attack
Questo particolare trojan non solo attacca l'account PayPal dell'utente, ma utilizza anche la funzione Screen Overlay di Android per posizionare schermate di accesso illegali su app legittime.
Il malware scarica schermate overlay HTML per Google Play, WhatsApp, Skype e Viber, quindi le utilizza per phishing i dettagli della carta di credito. Può anche creare un overlay per un accesso Gmail, rubando le credenziali di accesso dell'utente.
Mentre l'attacco overlay è attualmente limitato alle suddette app, l'elenco potrebbe essere aggiornato in qualsiasi momento, il che significa che questo tipo di attacco può essere espanso in qualsiasi momento per rubare praticamente qualsiasi tipo di informazione che l'attaccante desidera. We Live Security prosegue sottolineando che l'attaccante potrebbe esplorare altre opzioni per l'utilizzo dell'overlay:
Secondo la nostra analisi, gli autori di questo Trojan hanno cercato ulteriori usi per questo meccanismo di sovrapposizione dello schermo. Il codice del malware contiene stringhe che affermano che il telefono della vittima è stato bloccato per la visualizzazione di materiale pedopornografico e può essere sbloccato inviando un'e-mail a un indirizzo specificato. Tali affermazioni ricordano i primi attacchi di ransomware mobili, in cui le vittime avevano paura di credere che i loro dispositivi fossero bloccati a causa di sanzioni reputate della polizia. Non è chiaro se gli aggressori dietro questo Trojan stiano anche pianificando di estorcere denaro dalle vittime, o se questa funzionalità sarebbe semplicemente utilizzata come copertura per altre azioni dannose che si verificano in background.
Come stare al sicuro
Mentre abbiamo un pezzo dettagliato su come evitare il malware Android, ecco un TL; DR per stare al sicuro:
- Installa solo app da Google Play. Evita app store di terze parti, in particolare quelli che promettono app gratuite a pagamento.
- Prestare attenzione durante il trasferimento laterale. Se esegui il sideload di un'app, assicurati prima che sia legittima.
- Non installare app piratate. Sul serio. Non è solo schifoso, ma potenzialmente ti apre a tutti i tipi di schifezze dannose.
- Fai le tue ricerche. Anche quando si utilizza Google Play, leggere le recensioni e prestare attenzione, sebbene più sicuro della maggior parte dei negozi di terze parti, il Play Store non è completamente impermeabile ai malware.
RELAZIONATO: Come evitare i malware su Android
Fonte: We Live Security
