Οนักวิจัยของ ESET ได้ค้นพบโทรจัน Android ตัวใหม่ ซึ่งกำหนดเป้าหมายไปที่แอปพลิเคชัน PayPal อย่างเป็นทางการ และสามารถข้ามการตรวจสอบสิทธิ์ PayPal แบบสองปัจจัยได้
โทรจันที่ ESET ตรวจพบครั้งแรกในเดือนพฤศจิกายน 2018 ได้รวมเอาความสามารถของโทรจันธนาคารที่ควบคุมจากระยะไกลเข้ากับรูปแบบใหม่ของการละเมิดการเข้าถึง Android ที่กำหนดเป้าหมายผู้ใช้แอปพลิเคชัน PayPal อย่างเป็นทางการ จนถึงตอนนี้ มัลแวร์ยังปรากฏเป็นเครื่องมือในการเพิ่มประสิทธิภาพอายุการใช้งานแบตเตอรี่และเผยแพร่ผ่านร้านค้าแอปพลิเคชันบุคคลที่สาม
เมื่อติดตั้งแล้ว แอปพลิเคชันที่เป็นอันตรายจะยุติการทำงานโดยไม่มีฟังก์ชันใดๆ และไอคอนจะหายไป นอกเหนือจากนั้น นักวิจัยพบว่ามันยังคงดำเนินต่อไปในสองวิธี
การปลอมตัวที่มัลแวร์ใช้ในขั้นตอนนี้
ในวิธีแรก มัลแวร์จะแสดงการแจ้งเตือนเพื่อขอให้ผู้ใช้เปิดใช้งาน เมื่อผู้ใช้เปิดแอปพลิเคชัน PayPal และเข้าสู่ระบบ บริการการเข้าถึงที่เป็นอันตราย (หากเปิดใช้งานโดยผู้ใช้ก่อนหน้านี้) จะเลียนแบบการคลิกของผู้ใช้เพื่อส่งเงินไปยังที่อยู่ PayPal ของผู้โจมตี
นักวิจัยระบุว่า แอปพลิเคชันพยายามโอนเงิน 1.000 ยูโร อย่างไรก็ตาม สกุลเงินที่ใช้ขึ้นอยู่กับตำแหน่งของผู้ใช้ กระบวนการทั้งหมดใช้เวลาประมาณ 5 วินาที และสำหรับผู้ใช้ที่ไม่สงสัย ไม่มีทางที่จะเข้าไปแทรกแซงได้
เนื่องจากมัลแวร์ไม่ได้อาศัยการขโมยข้อมูลรับรองการเข้าสู่ระบบ PayPal และรอให้ผู้ใช้เข้าสู่ระบบด้วยตนเอง จึงสามารถเลี่ยงการตรวจสอบสิทธิ์แบบสองปัจจัยของ PayPal ได้ การโจมตีจะล้มเหลวก็ต่อเมื่อผู้ใช้มียอดคงเหลือใน PayPal ไม่เพียงพอและไม่ได้เชื่อมต่อบัตรชำระเงินกับบัญชีของเขา
ESET ได้รับแจ้งจาก ESET เกี่ยวกับมัลแวร์ที่ใช้โดยโทรจันนี้ และบัญชี PayPal ใดที่ผู้โจมตีใช้เพื่อรับเงินที่ถูกขโมย
วิธีที่สอง แอปที่เป็นอันตรายจะแสดงแอปพลิเคชันที่ปิดหน้าจอที่ถูกต้อง XNUMX แอป ได้แก่ Google Play, WhatsApp, Skype, Viber และ Gmail แต่ผู้ใช้ไม่สามารถปิดได้ เว้นแต่จะมีการกรอกแบบฟอร์มข้อมูลปลอม นักวิจัยพบว่าแม้จะส่งข้อมูลเท็จ หน้าจอก็หายไป
อย่างไรก็ตาม รหัสมัลแวร์มีสตริงที่อ้างว่าโทรศัพท์ของเหยื่อถูกล็อกเพื่อดูภาพอนาจารของเด็ก และสามารถปลดล็อกได้ก็ต่อเมื่ออีเมลถูกส่งไปยังที่อยู่ที่ระบุเท่านั้น
หน้าจอซ้อนทับที่เป็นอันตรายสำหรับ Google Play, WhatsApp, Viber และ Skype
การตกปลาหน้าจอซ้อนทับที่เป็นอันตรายสำหรับข้อมูลรับรอง Gmail
นอกเหนือจากฟังก์ชันพื้นฐานทั้งสองนี้ และขึ้นอยู่กับคำสั่งที่ได้รับจากเซิร์ฟเวอร์ C&C มัลแวร์ยังสามารถส่งหรือลบ SMS ดาวน์โหลดรายชื่อติดต่อ โทรออกหรือโอนสาย ติดตั้งและเรียกใช้แอปพลิเคชัน ฯลฯ
ESET แนะนำให้ผู้ใช้ที่ติดตั้งโทรจันตรวจสอบบัญชีธนาคารของพวกเขาสำหรับธุรกรรมที่น่าสงสัยและเปลี่ยนรหัสธนาคารทางอินเทอร์เน็ต, PIN และรหัสผ่าน Gmail ในกรณีของการทำธุรกรรม PayPal โดยไม่ได้รับอนุญาต พวกเขาสามารถรายงานปัญหาไปยังศูนย์วิเคราะห์ PayPal
สำหรับผู้ใช้อุปกรณ์ที่ไม่สามารถใช้งานได้เนื่องจากการซ้อนทับหน้าจอ ESET แนะนำให้คุณใช้โหมดปลอดภัยของ Android และลบแอปพลิเคชันที่เรียกว่า "Android Optimization" ในส่วนจัดการแอปพลิเคชัน / แอปในการตั้งค่าอุปกรณ์
เพื่อความปลอดภัยจากมัลแวร์ Android ในอนาคต ESET แนะนำให้ผู้ใช้:
• เชื่อถือเฉพาะ Google Play Store อย่างเป็นทางการในการดาวน์โหลดแอป
• ตรวจสอบจำนวนการติดตั้ง การให้คะแนน และเนื้อหาของบทวิจารณ์ก่อนดาวน์โหลดแอปจาก Google Play
• ระวังการอนุญาตของแอพพลิเคชั่นที่ติดตั้ง
• อัปเดตอุปกรณ์ Android ของตนอยู่เสมอและใช้โซลูชันการรักษาความปลอดภัยบนอุปกรณ์เคลื่อนที่ที่เชื่อถือได้
