ΟStudiuesit e ESET kanë zbuluar një Trojan të ri Android, i cili synon aplikacionin zyrtar PayPal dhe është i aftë të anashkalojë vërtetimin me dy faktorë të PayPal.
Trojani, i zbuluar për herë të parë nga ESET në nëntor 2018, kombinon aftësitë e një trojan bankar të kontrolluar nga distanca me një formë të re abuzimi me aksesueshmërinë Android që synon përdoruesit e aplikacionit zyrtar PayPal. Deri më tani, malware shfaqet si një mjet për optimizimin e jetëgjatësisë së baterisë dhe shpërndahet përmes dyqaneve të aplikacioneve të palëve të treta.
Pasi të instalohet, aplikacioni me qëllim të keq përfundon pa ofruar asnjë funksionalitet dhe ikona e tij zhduket. Përtej kësaj, studiuesit zbuluan se ajo vazhdon në dy mënyra.
Maskimi i përdorur nga malware në këtë fazë
Në mënyrën e parë, malware shfaq një njoftim që i kërkon përdoruesit ta lëshojë atë. Pasi përdoruesi hap aplikacionin PayPal dhe identifikohet, shërbimi i aksesit me qëllim të keq (nëse është aktivizuar më parë nga përdoruesi) imiton klikimet e përdoruesit për të dërguar para në adresën PayPal të sulmuesit.
Sipas studiuesve, aplikacioni u përpoq të transferonte 1.000 euro, megjithatë, monedha e përdorur varet nga vendndodhja e përdoruesit. I gjithë procesi zgjat rreth 5 sekonda dhe për një përdorues që nuk dyshon, nuk ka asnjë mënyrë për të ndërhyrë në kohë.
Për shkak se malware nuk mbështetet në vjedhjen e kredencialeve të hyrjes në PayPal dhe në vend të kësaj pret që përdoruesit të identifikohen vetë, ai mund të anashkalojë vërtetimin me dy faktorë të PayPal. Sulmi dështon vetëm nëse përdoruesi ka bilanc të pamjaftueshëm të PayPal dhe nuk ka lidhur një kartë pagese në llogarinë e tij.
PayPal është njoftuar nga ESET për malware të përdorur nga ky Trojan dhe cilën llogari PayPal përdor sulmuesi për të marrë paratë e vjedhura.
Në mënyrën e dytë, aplikacionet me qëllim të keq shfaqin pesë aplikacione legjitime të mbuluara me ekran - Google Play, WhatsApp, Skype, Viber dhe Gmail, por nuk mund të mbyllen nga përdoruesit nëse nuk plotësohet një formular i rremë i të dhënave. Studiuesit zbuluan se edhe me paraqitjen e informacionit të rremë, ekrani u zhduk.
Sidoqoftë, kodi i malware përmban vargje që pretendojnë se telefoni i viktimës është bllokuar për të parë pornografinë e fëmijëve dhe mund të zhbllokohet vetëm nëse dërgohet një email në një adresë specifike.
Ekranet e mbivendosjes me qëllim të keq për Google Play, WhatsApp, Viber dhe Skype
Peshkimi i mbivendosjes së dëmshme të ekranit për kredencialet e Gmail
Përveç këtyre dy funksioneve bazë, dhe në varësi të komandave që merr nga serveri C&C, malware gjithashtu mund të dërgojë ose fshijë SMS, të shkarkojë kontakte, të bëjë ose përcjell thirrje, të instalojë dhe ekzekutojë aplikacione etj.
ESET këshillon përdoruesit që kanë instaluar Trojan të kontrollojnë llogarinë e tyre bankare për transaksione të dyshimta dhe të ndryshojnë kodet e tyre të bankingut në internet, PIN-et dhe fjalëkalimet e Gmail. Në rast të transaksioneve të paautorizuara me PayPal, ata mund ta raportojnë problemin në Qendrën e Analizës së PayPal.
Për përdoruesit e pajisjeve që nuk mund të përdoren për shkak të mbivendosjes së ekranit, ESET rekomandon që të përdorni modalitetin e sigurt të Android dhe të hiqni aplikacionin e quajtur "Android Optimization" në seksionin Menaxheri i aplikacionit / Aplikacionet në cilësimet e pajisjes.
Për të qenë të sigurt nga malware Android në të ardhmen, ESET rekomandon që përdoruesit:
• Besojini vetëm dyqanit zyrtar të Google Play për të shkarkuar aplikacione.
• Kontrolloni numrin e instalimeve, vlerësimet dhe përmbajtjen e komenteve përpara se të shkarkoni aplikacione nga Google Play.
• Kini kujdes me lejet e aplikacioneve që instalojnë.
• Mbani të përditësuar pajisjen e tyre Android dhe përdorni një zgjidhje të besueshme të sigurisë celulare.
