Troyanos en Android roban dinero de cuentas de PayPal que utilizan doble factor de autenticación

Los investigadores de ESET descubrieron un nuevo troyano para Android que utiliza una técnica para vulnerar el acceso que tiene como objetivo la aplicación oficial de PayPal y que es capaz de evadir el doble factor de autenticación.

Se ha identificado un nuevo troyano que afecta a los usuarios de Android que tiene algunos trucos ocultos.

Detectado por primera vez por ESET en noviembre de 2018, el malware combina las capacidades de un troyano bancario controlado de forma remota con una forma novedosa de explotar el servicio de accesibilidad de Android para afectar a los usuarios de la aplicación oficial de PayPal.

Hasta ahora, el malware se hace pasar por una herramienta para optimizar el rendimiento de la batería y se distribuye a través de tiendas de aplicaciones de terceros.

Figura 1: la forma de engaño utilizada por el malware al momento de escribir esta publicación

¿Cómo opera?

Luego de ser ejecutada, la aplicación finaliza y luego esconde el ícono. De aquí en más, su funcionalidad puede dividirse en dos partes, tal como se describe en las siguientes secciones.

Servicio de acceso malicioso dirigido a PayPal

La primera función del malware, que es robar dinero de la cuenta de PayPal de la víctima, requiere la activación de un servicio de accesibilidad malicioso. Como puede ver en la figura 2, esta solicitud se presenta al usuario a continuación como una solicitud de apariencia inocua que solicita "habilitar" el servicio de estadísticas.

Figura 2 – Malware solicitando la activación del servicio de accesibilidad bajo el mensaje falso “Habilitar estadísticas”

Si la aplicación oficial de PayPal está instalada en la computadora comprometida, el malware muestra una notificación de alerta que sugiere que el usuario ejecute la aplicación. Una vez que el usuario abre la aplicación de PayPal y se registra, el servicio de accesibilidad malicioso (si el usuario lo ha habilitado previamente) entra en acción e imita los clics del usuario para enviar dinero a la dirección de PayPal del atacante.

Durante nuestro análisis, la aplicación pretendía transferir 1000 euros, aunque la moneda utilizada dependía de la ubicación del usuario. Todo el proceso completo consume cerca de cinco segundos, y para un usuario sin prevención, no hay posibilidad de intervenir a tiempo.

Debido a que el malware no se basa en el robo de las credenciales de inicio de sesión de PayPal, sino que espera a que el usuario se registre a través de la aplicación oficial de PayPal para su propia cuenta, el ataque logra evadir el doble factor de autenticación. En este sentido, los usuarios que tengan habilitada la opción del doble factor de autenticación simplemente completarán un paso más en el proceso de ingreso a sus respectivas cuentas, como lo harían normalmente, pero acabarán siendo igual de vulnerables a este troyano que aquellos que no lo hagan. utilizar el factor de autenticación doble.

El siguiente video muestra este proceso en la práctica.



Los atacantes caen únicamente si el usuario tiene saldo insuficiente en PayPal y si no tiene una tarjeta asociada a la cuenta. El servicio de accesibilidad malicioso se activa cada vez que se ejecuta la aplicación de PayPal, lo que significa que el ataque se puede realizar varias veces.

Hemos notificado a PayPal de esta técnica maliciosa utilizada por este troyano y de la cuenta de PayPal utilizada por los atacantes para recibir fondos robados.

Trojanos bancarios con varias funcionalidades

La segunda funcionalidad del malware utiliza pantallas falsas (phishing) que se muestran de forma oculta en aplicaciones legítimas dirigidas.

De forma predeterminada, el malware descarga pantallas falsas basadas en HTML para superponerlas en cinco aplicaciones diferentes, que son Google Play, WhatsApp, Skype, Viber y Gmail. Pero esta lista de aplicaciones se puede actualizar en cualquier momento.

Cuatro de las cinco pantallas falsas buscan robar datos de tarjetas de crédito (Figura 3); la que suplanta la identidad de Gmail busca robar las credenciales de acceso a la cuenta oficial (Figura 4). Sospechamos que esto está relacionado con la funcionalidad dirigida a PayPal, ya que PayPal envía notificaciones por correo por cada transacción que se realiza. Con acceso a la cuenta de Gmail de la víctima, los atacantes pueden eliminar esos correos electrónicos por un período de tiempo más largo.

Figura 3 – Pantallas falsas para superponer aplicaciones como Google Play, WhatsApp, Viber y Skype, solicitando datos de tarjetas de crédito

Figura 4: pantallas superpuestas falsas que buscan robar las credenciales de Gmail

También hemos visto pantallas de superposición para aplicaciones bancarias legítimas que solicitan credenciales para acceder a las cuentas bancarias en línea de las víctimas (Figura 5).

Figura 5 – Pantallas falsas que suplantan la identidad de la aplicación bancaria del National Australia Bank (Banco Nacional de Australia)

A diferencia de otras funciones superpuestas utilizadas por la mayoría de los troyanos bancarios de Android, se implementan en pantallas en primer plano que están bloqueadas (una técnica que también utiliza el ransomware para Android. Esto evita que la víctima elimine la pantalla superpuesta presionando el botón Atrás o el botón hacia la pantalla de inicio, la única forma de escapar de esta pantalla superpuesta es completando el formulario falso, pero desafortunadamente, al menos de forma aleatoria, ingresar cualquier tipo de dato puede hacer que esta pantalla desaparezca.

Según nuestro análisis, el autor de este troyano ha estado buscando más formas de utilizar este mecanismo de superposición de pantalla. El código del malware contiene cadenas que notifican que el teléfono de la víctima ha sido bloqueado mostrando pornografía infantil y puede desbloquearse si envía un correo electrónico a una dirección específica. Estas notificaciones son reminiscencias de ataques tempranos de ransomware dirigidos a móviles, en los que la víctima era asustada al hacerle creer que su dispositivo estaba bloqueado debido a órdenes policiales. No está claro si los atacantes detrás de este troyano también planean extorsionar a las víctimas a cambio de dinero o si esta funcionalidad se usaría como una forma de ocultar otras acciones maliciosas que ocurren en el segundo plan.

Además de las dos funciones principales descritas anteriormente, y dependiendo de los comandos recibidos del servidor C&C, el malware también puede:

  • Interceptar y enviar mensajes SMS; borrar todos los mensajes SMS; realizar modificaciones en la aplicación predeterminada para mensajes SMS (para cancelar los sistemas de autenticación de doble factor basados ​​en SMS)
  • Obtener la lista de contactos
  • Hacer y responder llamadas
  • Obtener la lista de aplicaciones instaladas
  • Instalar aplicaciones e instalar aplicaciones instaladas
  • Iniciar comunicación "socket"

Trojanos similares en Google Play

También identificamos cinco aplicaciones maliciosas con capacidades similares en la tienda Google Play, dirigidas principalmente a usuarios brasileños.

Las aplicaciones, algunas de ellas también reportadas por el Dr. Web y ya removidas de Google Play, contaban con una herramienta para rastrear la ubicación de otro usuario de Android. En realidad, las aplicaciones utilizan un servicio de accesibilidad malicioso para navegar dentro de las aplicaciones legítimas de varios bancos en Brasil. Aparte de eso, los troyanos roban información confidencial al superponer varias aplicaciones con sitios de phishing. Las aplicaciones objetivo se detallan en la sección IoC de esta publicación.

Figura 6: una de las aplicaciones maliciosas en Google Play

Como dato interesante, estos troyanos utilizan la accesibilidad para frustrar los intentos de desinstalación al hacer clic repetidamente en el botón Atrás cada vez que se ejecuta una de las soluciones antivirus específicas (que se detallan a continuación) o el administrador de aplicaciones específicas (se detalla más abajo conveniente). o cuando identifique cadenas de caracteres que sugieran la desinstalación en primer plano.

Cómo estar protegido

que hayan instalado estas aplicaciones maliciosas probabilita ya hayan sido víctimas de alguna de sus funciones maliciosas.

Si ha instalado el troyano dirigido a PayPal, le recomendamos que revise su cuenta bancaria para detectar transacciones sospechosas y que considere la posibilidad de cambiar la contraseña de acceso al sistema de banca en línea / código PIN, así como la contraseña de Gmail. . En caso de transacciones de PayPal no autorizadas, puede informar un problema en el Centro de resoluciones de PayPal.

En el caso de dispositivos que queden inutilizables debido al bloqueo de pantalla que muestra este troyano, recomendamos utilizar el modo seguro Android y proceder a desinstalar una app Optimization Android” llamada desde el menú administración de aplicaciones en la sección configuración.

También se recomienda la desinstalación en modo seguro para usuarios de Brasil que instalaron uno de estos troyanos de Google Play.

Para estar protegido ante el malware para Android en el futuro, recomendamos lo siguiente:

  • Descarga aplicaciones solo desde la tienda oficial de Google Play
  • Ates de descargar una aplicación de Google Play, asegúrese de revisar la cantidad de descargas, calificación y comentarios
  • Presta atención a los permisos que concedes a las aplicaciones que instalas
  • Mantén actualizado tu dispositivo Android y utiliza una solución de seguridad para teléfonos móviles. Los productos de ESET detectan estas amenazas como Android/Spy.Banker.AJZ y Android/Spy.Banker.AKB

Indicadores de compromiso (IoC)

Troyano Android dirigido a usuarios de PayPal

Nombre del paquete Picadillo Nombre de detección de ESET
jhgfjhgfj.tjgyjgjgjy 1C555B35914ECE5143960FD8935EA564 Android/Spy.Banker.AJZ

Trojanos bancarios para Android dirigidos a usuarios de Brasil

Nombre del paquete Picadillo Nombre de detección de ESET
servicio.webview.kiszweb FFACD0A770AA4FAA261C903F3D2993A2 Android/Spy.Banker.AKB
servicio.webview.webkisz D6EF4E16701B218F54A2A999AF47D1B4 Android/Spy.Banker.AKB
com.web.webbrickd 5E278AAC7DAA8C7061EE6A9BCA0518FE Android/Spy.Banker.AKB
com.web.webbrickz 2A07A8B5286C07271F346DC4965EA640 Android/Spy.Banker.AKB
servicio.webview.strongwebview 75F1117CABC55999E783A9FD370302F3 Android/Spy.Banker.AKB

Aplicaciones afectadas (superposición de phishing)

  • com.uber
  • com.itaucard
  • com.bradesco
  • br.com.bb.android
  • com.netflix
  • gabba.caixa
  • com.itau
  • Cualquier aplicación que contenga la cadena "twitter"

Aplicaciones afectadas (navegación en la aplicación)

  • com.bradesco
  • gabba.caixa
  • com.itau
  • br.com.bb
  • Cualquier aplicación que contenga la cadena "santander"

Aplicaciones antivirus y administradores de aplicaciones específicas

  • com.vtm.desinstalar
  • com.ddm.smartappunsintaller
  • com.rhythm.hexise.uninst
  • com.GoodTools.Desinstalar
  • mobi.infolife.uninstaller
  • om.utils.uninstalle
  • com.jumobile.manager.systemapp
  • com.vsrevogroup.revouninstallermobi
  • oo.util.uninstall
  • om.barto.desinstalar
  • om.tohsoft.easyuninstalle
  • gran.android.móvil
  • om.android.cleane
  • om.antivirus
  • om.avira.andro
  • om.kms.gratis

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!