La aplicación maliciosa se disfraza como una herramienta de optimización de Android
Se han encontrado algunos troyanos malos en Android, pero este es posiblemente uno de los peores. Esta nueva amenaza automatiza una transacción de PayPal por $ 1.000 y la envía utilizando la aplicación oficial de PayPal, incluso en cuentas con 2FA habilitado.
El secuestro de PayPal
Lo hace utilizando un par de diferentes métodos y aprovechando los servicios de accesibilidad de Android. La aplicación maliciosa se disfraza actualmente como una herramienta de optimización de Android y se ha abierto camino en los teléfonos de los usuarios a través de tiendas de aplicaciones de terceros. Así que para empezar, no utilices las tiendas de aplicaciones de terceros.
Cuando se instala, "Optimization Android (Optimización de Android)" (en serio, ¿en primer lugar por qué instalaría yo algo con un nombre como este?) También crea un servicio de accesibilidad llamado "Habilitar estadísticas". Luego solicita acceso a esta función, que parece bastante inofensiva; permitirá que la aplicación monitoree las acciones de los usuarios y recupere el contenido de la ventana. Si crees que todo está en nombre de hacer que tu teléfono sea más rápido, casi tiene sentido.
Pero ahí es donde empeoran las cosas porque ahora el troyano puede emular efectivamente los toques. Genera una notificación que parece que proviene de PayPal e insta al usuario a iniciar sesión.
Cuando se toca, esta notificación abre la aplicación oficial de PayPal (si está instalada), por lo que no es un intento de phishing. La aplicación oficial se abre y le pide al usuario que inicie sesión. Dado que este es un intento de inicio de sesión legítimo dentro de la aplicación oficial, 2FA no hace nada para proteger la cuenta; simplemente iniciará sesión normalmente, ingresando el código 2FA cuando se ingrese.
Una vez que hayas iniciado sesión, la aplicación maliciosa toma el control y transfiere al atacante $ 1.000 de tu cuenta de PayPal. Este proceso automatizado ocurre en menos de cinco segundos. We Live Security hizo un vídeo de todo el proceso, y es una locura lo rápido que sucede (ver más abajo).
Cuando te das cuenta de lo que está pasando, es demasiado tarde para detenerlo. Lo único que detiene el proceso una vez que se inicia es si el saldo de PayPal es demasiado bajo y no hay otros métodos de financiamiento. Así que solo se cancela por defecto. De lo contrario, estás apañado.
Pero no termina ahí.
Ataque de superposición
Este troyano en particular no solo ataca la cuenta de PayPal del usuario, sino que también utiliza la función de superposición de pantalla de Android para colocar pantallas de inicio de sesión ilegítimas sobre aplicaciones legítimas.
El malware descarga pantallas de superposición HTML para Google Play, WhatsApp, Skype y Viber, y luego las usa para obtener detalles de tarjetas de crédito. También puede crear una superposición para un inicio de sesión de Gmail, robando las credenciales de inicio de sesión del usuario.
Si bien el ataque de superposición está actualmente limitado a las aplicaciones mencionadas, la lista podría actualizarse en cualquier momento, lo que significa que este tipo de ataque se puede expandir en cualquier momento para robar básicamente cualquier tipo de información que el atacante desee. We Live Security continúa destacando que el atacante podría estar explorando otras opciones para usar la superposición:
Según nuestro análisis, los autores de este troyano han estado buscando usos adicionales para este mecanismo de superposición de pantalla. El código del malware contiene cadenas que afirman que el teléfono de la víctima ha sido bloqueado por mostrar pornografía infantil y se puede desbloquear enviando un correo electrónico a una dirección específica. Dichas reclamaciones recuerdan los primeros ataques de ransomware móvil, donde las víctimas tenían miedo de creer que sus dispositivos estaban bloqueados debido a las reputadas sanciones policiales. No está claro si los atacantes detrás de este troyano también planean extorsionar dinero de las víctimas, o si esta funcionalidad simplemente se usaría como una cobertura para otras acciones maliciosas que ocurren en segundo plano.
Cómo mantenerse seguro
Si bien tenemos una pieza detallada sobre cómo evitar el malware en Android, aquí hay un resumen para estar seguro:
1. Instalar solo aplicaciones desde Google Play. Evita las tiendas de aplicaciones de terceros, especialmente las que prometen aplicaciones de pago de forma gratuita.
2. Ten precaución al momento de sideloading. Si estás cargando una aplicación, asegúrate primero de que sea legítima.
3. No instale aplicaciones pirateadas. Seriamente. No solo es horrible, sino que potencialmente te abre a todo tipo de basura maliciosa.
4. Investiga. Incluso cuando se utiliza Google Play, lee opiniones y presta atención, aunque es más seguro que la mayoría de las tiendas de terceros, Play Store no es completamente impermeable al malware.