Aunque Android tiene varias medidas de seguridad para evitar el malware, la tecnología no es perfecta y de vez en cuando aparecen algunos sistemas capaces de saltárselas. Es el caso del troyano descubierto por ESET que, camuflado en una app de optimización de batería, puede robar dinero de la app oficial de PayPal.
De acuerdo a la firma de seguridad, el malware fue detectado en noviembre de este mismo año y se distribuía a través de tiendas de terceros. Al abrir la aplicación, el icono (que es el mismo que el de la app Battery Doctor) desaparecía del launcher y el troyano se ponía manos a la obra.
Robar dinero de PayPal imitando los toques del usuario
Según ESET, el malware tenía dos funciones: robar dinero de PayPal y acceder a las tarjetas de crédito de los usuarios. Para la primera, el troyano solicitaba al usuario la activación de un servicio de accesibilidad malicioso para "habilitar las estadísticas". Si la víctima tenía la app de PayPal instalada, el malware mandaba una notificación pidiendo al usuario que la iniciase.
Al abrirla e iniciar sesión y gracias a que el usuario había activado el servicio de accesibilidad, el troyano tomaba el control e imitando los toques del usuario mandaba dinero a la dirección del hacker. ESET cuenta que durante sus pruebas el troyano intentó mandar 1.000 euros y que tarda solo cinco segundos en completar el proceso. "Para un usuario desprevenido no hay forma viable de intervenir a tiempo", afirman.
La única forma en la que el ataque puede fallar, apuntan desde la empresa, es que el afectado no tenga saldo en la cuenta de PayPal o una tarjeta vinculada. El problema está en que el malware se activa cada vez que se lanza la app, por lo que, de haberlo, podría robar dinero varias veces al día. Desde ESET dicen haber alertado a PayPal para que pueda tomar cartas en el asunto.
También ataca a las cuentas bancarias
La segunda función del troyano se valía de ataques de phising para simular apps legítimas y robar credenciales bancarias. El malware descarga unas pantallas de superposición basadas en apps conocidas como WhatsApp, Skype, Viber o Gmail que solicitaban la introducción de los detalles de la cuenta que, por supuesto, eran enviados al atacante.
Desde ESET consideran que la pantalla de Gmail estaba enfocada a poder acceder y borrar los correos de PayPal, puesto que el servicio envía un email cada vez que se hace una transacción. Así el usuario no se enteraría de la estafa hasta abrir de nuevo la aplicación, corriendo el riesgo de volver a ser víctima de otro robo.
Las pantallas superpuestas se mostraban en primer plano como si de un ransomware se tratase, por lo que el afectado no podía cerrarlas pulsando atrás o el botón de inicio. La única forma de deshacerse de la pantalla era rellenando el formulario con los datos bancarios.
También han encontrado troyanos en Google Play orientados al público brasileño. Uno de ellos (Whatsfound) anunciaba ser capaz de rastrear la ubicación de otros usuarios pero en realidad usaban un permiso de accesibilidad para navegar en las apps de banca.
Vía | ESET Créditos de imagen | Blogtrepeneur
Ver 3 comentarios