ΟESET-Forscher haben einen neuen Android-Trojaner entdeckt, der auf die offizielle PayPal-Anwendung abzielt und die Zwei-Faktor-PayPal-Authentifizierung umgehen kann.
Der Trojaner, der erstmals im November 2018 von ESET entdeckt wurde, kombiniert die Fähigkeiten eines ferngesteuerten Banking-Trojaners mit einer neuen Form des Missbrauchs der Android-Zugänglichkeit, die auf Benutzer der offiziellen PayPal-Anwendung abzielt. Bisher erscheint die Malware als Werkzeug zur Optimierung der Akkulaufzeit und wird über App-Stores von Drittanbietern verbreitet.
Nach der Installation wird die bösartige Anwendung beendet, ohne dass Funktionen bereitgestellt werden, und ihr Symbol verschwindet. Darüber hinaus fanden die Forscher heraus, dass es auf zwei Arten weitergeht.
Die von der Malware zu diesem Zeitpunkt verwendete Tarnung
Im ersten Fall zeigt die Malware eine Benachrichtigung an, in der der Benutzer aufgefordert wird, sie zu starten. Sobald der Benutzer die PayPal-Anwendung öffnet und sich anmeldet, ahmt der böswillige Zugriffsdienst (sofern zuvor vom Benutzer aktiviert) die Klicks des Benutzers nach, um Geld an die PayPal-Adresse des Angreifers zu senden.
Nach Angaben der Forscher versuchte die Anwendung, 1.000 Euro zu überweisen, die verwendete Währung hängt jedoch vom Standort des Benutzers ab. Der gesamte Vorgang dauert ca. 5 Sekunden, und für einen ahnungslosen Benutzer gibt es keine Möglichkeit, rechtzeitig einzugreifen.
Da Malware nicht darauf angewiesen ist, PayPal-Anmeldeinformationen zu stehlen, sondern darauf wartet, dass sich Benutzer selbst anmelden, kann sie die Zwei-Faktor-Authentifizierung von PayPal umgehen. Der Angriff schlägt nur fehl, wenn der Benutzer nicht über ein unzureichendes PayPal-Guthaben verfügt und keine Zahlungskarte mit seinem Konto verbunden hat.
PayPal wurde von ESET darüber informiert, welche Malware von diesem Trojaner verwendet wird und mit welchem PayPal-Konto der Angreifer an das gestohlene Geld gelangt.
Zweitens zeigen bösartige Apps fünf legitime bildschirmbedeckte Anwendungen an – Google Play, WhatsApp, Skype, Viber und Gmail, können jedoch von Benutzern nicht geschlossen werden, es sei denn, ein gefälschtes Datenformular wird ausgefüllt. Die Forscher fanden heraus, dass der Bildschirm selbst bei der Übermittlung falscher Informationen verschwand.
Der Malware-Code enthält jedoch Zeichenfolgen, die behaupten, dass das Telefon des Opfers für das Anzeigen von Kinderpornografie gesperrt wurde und nur entsperrt werden kann, wenn eine E-Mail an eine bestimmte Adresse gesendet wird.
Schädliche Overlay-Bildschirme für Google Play, WhatsApp, Viber und Skype
Bösartiges Overlay-Screen-Fishing nach Gmail-Anmeldeinformationen
Zusätzlich zu diesen beiden Grundfunktionen kann die Malware je nach den Befehlen, die sie vom C&C-Server erhält, auch SMS senden oder löschen, Kontakte herunterladen, Anrufe tätigen oder weiterleiten, Anwendungen installieren und ausführen usw.
ESET rät Benutzern, die den Trojaner installiert haben, ihr Bankkonto auf verdächtige Transaktionen zu überprüfen und ihre Internet-Banking-Codes, PINs und Gmail-Passwörter zu ändern. Bei nicht autorisierten PayPal-Transaktionen können sie das Problem dem PayPal-Analysezentrum melden.
Für Benutzer von Geräten, die aufgrund von Bildschirmüberlagerungen nicht verwendet werden können, empfiehlt ESET, den abgesicherten Modus von Android zu verwenden und die Anwendung namens "Android-Optimierung" im Abschnitt Anwendungsmanager / Apps in den Geräteeinstellungen zu entfernen.
Um in Zukunft vor Android-Malware sicher zu sein, empfiehlt ESET den Benutzern:
• Vertrauen Sie nur dem offiziellen Google Play Store, um Apps herunterzuladen.
• Überprüfen Sie die Anzahl der Installationen, Bewertungen und den Inhalt der Rezensionen, bevor Sie Apps von Google Play herunterladen.
• Gehen Sie mit den Berechtigungen der installierten Anwendungen vorsichtig um.
• Halten Sie ihr Android-Gerät auf dem neuesten Stand und verwenden Sie eine zuverlässige mobile Sicherheitslösung.
