Το πόρισμα μιας νέας εκτενέστατης μελέτης από ερευνητές ασφαλείας μας πληροφορεί πως υπάρχει νέο trojan που επηρεάζει τους χρήστες της mobile πλατφόρμα του Android. Αρχικά ο ιός ανιχνεύτηκε από το ESET τον Νοέμβριο του 2018, καθώς το malware συνδυάζει τις δυνατότητες ενός τηλεκατευθυνόμενου τραπεζικού Trojan με μια κακή χρήση των υπηρεσιών προσβασιμότητας Android, για να στοχεύσει τους χρήστες της επίσημης εφαρμογής PayPal. Μόλις ξεκινήσει, η κακόβουλη εφαρμογή τερματίζεται χωρίς να προσφέρει λειτουργικότητα και αποκρύπτει το εικονίδιο της. Η πρώτη λειτουργία του κακόβουλου λογισμικού είναι η κλοπή χρημάτων από τα θύματά του, δηλαδή οι κάτοχοι λογαριασμού PayPal. Ωστόσο, απαιτεί την ενεργοποίηση μιας κακόβουλης υπηρεσίας προσβασιμότητας. Το αίτημα αυτό παρουσιάζεται στο χρήστη ως υπηρεσία “Αδρανοποίησης στατιστικών στοιχείων” ακίνδυνης ανίχνευσης.
Εάν η επίσημη εφαρμογήPayPal είναι εγκατεστημένη στη συμβαλλόμενη συσκευή, το κακόβουλο πρόγραμμα εμφανίζει μια προειδοποίηση ειδοποίησης που ζητά από τον χρήστη να την εκκινήσει. Μόλις ο χρήστης ανοίξει την εφαρμογή PayPal και συνδεθεί, η υπηρεσία καθίσταται ενεργή και μιμείται τα κλικ του χρήστη για να στείλει χρήματα στη διεύθυνση PayPal του εισβολέα. Η όλη διαδικασία διαρκεί περίπου 5 δευτερόλεπτα και για έναν ανυποψίαστο χρήστη, δεν υπάρχει εφικτός τρόπος να επέμβει εγκαίρως.
Το κακόβουλο λογισμικό δεν βασίζεται στην κλοπή των διαπιστευτηρίων σύνδεσης του PayPal,αντίθετα περιμένει τους χρήστες να συνδεθούν στην επίσημη εφαρμογή PayPal,παρακάμπτοντας ταυτόχρονα τον έλεγχο ταυτότητας δύο παραγόντων του PayPal(2FA). Οι επιτιθέμενοι αποτυγχάνουν μόνο εάν ο χρήστης έχει ανεπαρκές υπόλοιποPayPal και δεν έχει συνδεθεί με το λογαριασμό του η κάρτα πληρωμής. Η κακόβουλη υπηρεσία προσβασιμότητας ενεργοποιείται κάθε φορά που ξεκινάει η εφαρμογήPayPal, που σημαίνει ότι η επίθεση θα μπορούσε να πραγματοποιηθεί πολλές φορές.
Η δεύτερη λειτουργία του κακόβουλου λογισμικού αξιοποιεί τις οθόνες ηλεκτρονικού”ψαρέματος” που εμφανίζονται κρυφά σε συγκεκριμένες, νόμιμες εφαρμογές. Από προεπιλογή, οι κακόβουλες εφαρμογές προβάλλουν οθόνες επικάλυψης βασισμένες σε HTML για πέντε εφαρμογές Google Play, WhatsApp, Skype, Viber καιGmail, αλλά αυτή η αρχική λίστα μπορεί να ενημερώνεται δυναμικά ανά πάσα στιγμή. Σε αντίθεση με τις επικαλύψεις που χρησιμοποιούνται από τους περισσότερους τραπεζίτες Android, αυτές εμφανίζονται στην οθόνη κλειδώματος προσκηνίου. Αυτό εμποδίζει τα θύματα να αφαιρέσουν την επικάλυψη αγγίζοντας το κουμπί “πίσω” ή το κουμπί “Home”.
Επιπλέον, το κακόβουλο λογισμικό μπορεί επίσης να παρακολουθεί και να στέλνει μηνύματα SMS, να διαγράφει SMS ή να αλλάξει την προεπιλεγμένη εφαρμογή SMS, να αποκτήσει τη λίστα επαφών, να κάνεις κλήσεις, κ.ά.
Έχει επίσης μεγάλο ενδιαφέρον ότι αυτά τα Trojansχρησιμοποιούν επίσης την Προσβασιμότητα Android για να αποτρέψουν τις προσπάθειες κατάργησης εγκατάστασης της κακόβουλης εφαρμογής.
Προσοχή παιδιά!
[via]