Android-троян крадет деньги со счетов PayPal даже при включенном 2FA

  1. Как это работает?
  2. Служба вредоносного доступа, ориентированная на PayPal
  3. Банковский троян, использующий оверлейные атаки
  4. Трояны доступности также скрываются в Google Play
  5. Как оставаться в безопасности
  6. Показатели компромисса (IoCs)
  7. Android-банковский троян, ориентированный на бразильских пользователей
  8. Целевые приложения (фишинговые оверлеи)

Исследователи ESET обнаружили новый Android-троянец, использующий новую технику злоупотребления доступностью, нацеленную на официальное приложение PayPal и способную обойти двухфакторную аутентификацию PayPal.

Существует новый троян, охотящийся на пользователей Android, и у него есть некоторые противные уловки в рукаве.

Впервые обнаруженная ESET в ноябре 2018 года, вредоносная программа сочетает в себе возможности дистанционного управления банковский троян с новым неправомерным использованием сервисов Android Accessibility, нацеленных на пользователей официального приложения PayPal.

На момент написания статьи вредоносная программа маскировалась под инструмент оптимизации батареи и распространялась через сторонние магазины приложений.

На момент написания статьи вредоносная программа маскировалась под инструмент оптимизации батареи и распространялась через сторонние магазины приложений

Рисунок 1 - Маскировка, используемая вредоносной программой на момент написания

Как это работает?

После запуска вредоносное приложение закрывается, не предлагая никаких функций, и скрывает значок. С этого момента его функциональность можно разбить на две основные части, как описано в следующих разделах.

Служба вредоносного доступа, ориентированная на PayPal

Первая функция вредоносного ПО - кража денег со счетов своих жертв в PayPal - требует активации вредоносной службы доступности. Как видно из рисунка 2, этот запрос представлен пользователю как безвредно звучащий сервис «Включить статистику».

Как видно из рисунка 2, этот запрос представлен пользователю как безвредно звучащий сервис «Включить статистику»

Рисунок 2 - Вредоносное ПО, запрашивающее активацию службы доступности, замаскированное под «Включить статистику»

Если официальное приложение PayPal установлено на скомпрометированном устройстве, вредоносная программа отображает уведомление с уведомлением, побуждающее пользователя запустить его. После того, как пользователь открывает приложение PayPal и входит в систему, сервис вредоносной доступности (если ранее он был включен пользователем) вступает в действие и имитирует щелчки пользователя, чтобы отправить деньги на адрес PayPal злоумышленника.

В ходе нашего анализа приложение попыталось перевести 1000 евро, однако используемая валюта зависит от местоположения пользователя. Весь процесс занимает около 5 секунд, и для ничего не подозревающего пользователя не существует разумного способа вовремя вмешаться.

Поскольку вредоносная программа не полагается на кражу учетных данных для входа в PayPal и вместо этого ожидает, когда пользователи самостоятельно войдут в официальное приложение PayPal, она также обходит двухфакторную аутентификацию PayPal (2FA). Пользователи с включенным 2FA просто выполняют один дополнительный шаг при входе в систему, - как обычно, - но в конечном итоге становятся такими же уязвимыми для атаки этого троянца, как и те, кто не использует 2FA.

Видео ниже демонстрирует этот процесс на практике.

Злоумышленники терпят неудачу только в том случае, если у пользователя недостаточно баланса PayPal и к учетной записи не подключена платежная карта. Вредоносная служба доступности активируется каждый раз, когда запускается приложение PayPal, что означает, что атака может происходить несколько раз.

Мы уведомили PayPal о вредоносной технике, используемой этим трояном, и учетной записи PayPal, использованной злоумышленником для получения украденных средств.

Банковский троян, использующий оверлейные атаки

Вторая функция вредоносного ПО использует фишинговые экраны, скрытно отображаемые над целевыми, легитимными приложениями.

По умолчанию вредоносная программа загружает оверлейные экраны на основе HTML для пяти приложений - Google Play, WhatsApp, Skype, Viber и Gmail, но этот первоначальный список можно динамически обновлять в любой момент.

Четыре из пяти наложенных экранов отображают данные кредитной карты (рис. 3); тот, который нацелен на Gmail, следует за учетными данными Gmail (рисунок 4). Мы подозреваем, что это связано с функцией таргетинга PayPal, так как PayPal отправляет уведомления по электронной почте для каждой завершенной транзакции. Имея доступ к учетной записи жертвы Gmail, злоумышленники могут удалять такие письма, чтобы оставаться незамеченными дольше.

Имея доступ к учетной записи жертвы Gmail, злоумышленники могут удалять такие письма, чтобы оставаться незамеченными дольше

Рисунок 3 - Вредоносные оверлейные экраны для Google Play, WhatsApp, Viber и Skype, запрашивающие данные кредитной карты

Рисунок 3 - Вредоносные оверлейные экраны для Google Play, WhatsApp, Viber и Skype, запрашивающие данные кредитной карты

Рисунок 4. Вредоносные экраны наложения фишинга учетных данных Gmail

Мы также видели наложенные экраны для законных банковских приложений, запрашивающих учетные данные для входа в учетные записи интернет-банка жертвы (рисунок 5).

Рисунок 5. Экран наложения вредоносных программ для приложения NAB (Национальный австралийский банк) Mobile Banking

В отличие от оверлеев, используемых большинством банковских троянов Android, они отображаются на экране блокировки переднего плана - метод, который также используется вымогателями Android. Это не позволяет жертвам удалить оверлей, нажав кнопку «Назад» или кнопку «Домой». Единственный способ обойти этот оверлейный экран - заполнить фиктивную форму, но, к счастью, даже случайные, недействительные данные заставляют эти экраны исчезать.

Согласно нашему анализу, авторы этого троянца искали возможности дальнейшего использования этого механизма наложения экрана. Код на наличии вредоносного содержит строки, претендующих телефон жертвы были заблокированы для показа детской порнографии и могут быть разблокированы, отправив письмо по указанному адресу. Такие заявления напоминают о ранних атаках мобильных вымогателей, когда жертвы боялись поверить, что их устройства были заблокированы из-за предполагаемых санкций полиции. Неясно, планируют ли злоумышленники, стоящие за этим трояном, также вымогать деньги у жертв, или же эта функция будет просто использоваться в качестве прикрытия для других вредоносных действий, происходящих в фоновом режиме.

Помимо двух основных функций, описанных выше, и в зависимости от команд, полученных от своего C & C-сервера, вредоносная программа также может:

  • Перехватывать и отправлять смс сообщения; удалить все смс сообщения; изменить приложение SMS по умолчанию (чтобы обойти двухфакторную аутентификацию на основе SMS)
  • Получить список контактов
  • Совершать и переадресовывать звонки
  • Получить список установленных приложений
  • Установить приложение, запустить установленное приложение
  • Начать сокетную связь

Трояны доступности также скрываются в Google Play

Мы также обнаружили пять вредоносных приложений с аналогичными возможностями в магазине Google Play, ориентированных на бразильских пользователей.

Приложения, о некоторых из которых также сообщили Доктор Веб и теперь удален из Google Play, представленный как инструменты для отслеживания местоположения других пользователей Android. В действительности, приложения используют вредоносную службу специальных возможностей для навигации внутри легальных приложений нескольких бразильских банков. Кроме того, трояны разыскивают конфиденциальную информацию, накладывая ряд приложений на фишинговые веб-сайты. Целевые приложения перечислены в разделе IoC этого поста.

Рисунок 6 - Одно из вредоносных приложений в Google Play

Интересно, что эти трояны также используют «Доступность» для предотвращения попыток удаления, многократно нажимая кнопку «Назад» каждый раз, когда запускается целевое антивирусное приложение или менеджер приложений, или когда на переднем плане обнаруживаются строки, предлагающие удаление.

Как оставаться в безопасности

Те, кто установил эти вредоносные приложения, вероятно, уже стали жертвами одной из своих вредоносных функций.

Если вы установили троянец, нацеленный на PayPal, мы советуем вам проверить ваш банковский счет на наличие подозрительных транзакций и рассмотреть возможность изменения пароля / PIN-кода вашего интернет-банкинга, а также пароля Gmail. В случае несанкционированных транзакций PayPal вы можете сообщить о проблеме в PayPal. Центр по разрешению ,

Для устройств, которые невозможно использовать из-за наложения экрана блокировки, отображаемого этим трояном, мы рекомендуем использовать безопасный режим Android и продолжить удаление приложения под названием «Оптимизация Android» в разделе «Настройки»> «Общие»> «Диспетчер приложений / Приложения».

Удаление в безопасном режиме также рекомендуется для пользователей из Бразилии, которые установили один из троянов из Google Play.

Чтобы оставаться в безопасности от вредоносного ПО Android в будущем, мы советуем вам:

  • При загрузке приложений придерживайтесь официального магазина Google Play
  • Перед загрузкой приложений из Google Play обязательно проверьте количество загрузок, рейтинги приложений и содержание отзывов.
  • Обратите внимание на то, какие разрешения вы предоставляете приложениям, которые вы устанавливаете
  • Постоянно обновляйте свое Android-устройство и используйте надежное решение для обеспечения безопасности мобильных устройств; Продукты ESET обнаруживают эти угрозы как Android / Spy.Banker.AJZ и Android / Spy.Banker.AKB

Показатели компромисса (IoCs)

Android-троян, ориентированный на пользователей PayPal

Имя пакета Хэш-имя обнаружения ESET jhgfjhgfj.tjgyjgjgjy 1C555B35914ECE5143960FD8935EA564 Android / Spy.Banker.AJZ

Android-банковский троян, ориентированный на бразильских пользователей

Имя пакета Hash ESET имя обнаружения service.webview.kiszweb FFACD0A770AA4FAA261C903F3D2993A2 Android / Spy.Banker.AKB service.webview.webkisz D6EF4E16701B218F54A2A999AF47D1B4 Android / Spy.Banker.AKB com.web.webbrickd 5E278AAC7DAA8C7061EE6A9BCA0518FE Android / Spy.Banker.AKB com.web.webbrickz 2A07A8B5286C07271F346DC4965EA640 Android / Spy.Banker.AKB service.webview.strongwebview 75F1117CABC55999E783A9FD370302F3 Android / Spy.Banker.AKB

Целевые приложения (фишинговые оверлеи)

  • com.uber
  • com.itaucard
  • com.bradesco
  • br.com.bb.android
  • com.netflix
  • gabba.Caixa
  • com.itau
  • Любое приложение, содержащее строку «твиттер»

Целевые приложения (навигация в приложении)

  • com.bradesco
  • gabba.Caixa
  • com.itau
  • br.com.bb
  • Любое приложение, содержащее строку «Сантандер»

Целевые антивирусные приложения и менеджеры приложений

  • com.vtm.uninstall
  • com.ddm.smartappunsintaller
  • com.rhythm.hexise.uninst
  • com.GoodTools.Uninstalle
  • mobi.infolife.uninstaller
  • om.utils.uninstalle
  • com.jumobile.manager.systemapp
  • com.vsrevogroup.revouninstallermobi
  • oo.util.uninstall
  • om.barto.uninstalle
  • om.tohsoft.easyuninstalle
  • vast.android.mobile
  • om.android.cleane
  • om.antiviru
  • om.avira.andro
  • om.kms.free

Как это работает?