Debe tener en cuenta un nuevo virus troyano dirigido a usuarios de Android. Detectado por primera vez por ESET en noviembre de 2018, el malware combina la funcionalidad de un troyano bancario de control remoto y las vulnerabilidades de los servicios de accesibilidad de Android para dirigirse directamente a los usuarios de la aplicación oficial de PayPal. Este malware se disfraza como un optimizador de batería y se distribuye a través de tiendas de aplicaciones de terceros.
¿Cómo funciona?
Una vez iniciada, la aplicación maliciosa se cierra sin proporcionar funcionalidad y elimina automáticamente su icono del teléfono. A partir de este punto, la operación se desarrolla en dos fases principales, como se describe en las siguientes secciones.
Servicio de accesibilidad malicioso dirigido a PayPal
La primera función de un programa malicioso es apropiarse de los fondos de PayPal de un usuario. Esto se logra al habilitar el servicio de malware malicioso de accesibilidad. El formulario de solicitud es percibido por el usuario como proviniendo del servicio «Activación de Estadísticas», como se ilustró en la
Si la persona que recibirá el dinero ya ejecutó la aplicación oficial de PayPal, el malware indicará una advertencia de aviso pidiéndole que la abra. Cuando un usuario inicia sesión en PayPal y abre la aplicación, un servicio malicioso de accesibilidad (que previamente el usuario habilitó) toma el control y realiza los clics del usuario para transferir fondos a la cuenta del atacante.
Durante el proceso de revisión, la aplicación intentó enviar 1000 € al usuario, pero la divisa utilizada era diferente según la ubicación del mismo. Todo el procedimiento dura aproximadamente 5 segundos, por lo que un usuario desprevenido no podría haber intervenido a tiempo.
Debido a que el malware no toma como objetivo las credenciales de inicio de sesión de PayPal, sino que espera a que los usuarios de la aplicación oficial de PayPal inicien sesión, también pudo engañar al sistema de autenticación de dos factores de PayPal. Los individuos que eligen 2FA deben completar un paso adicional en el proceso de autenticación, sin embargo, son tan vulnerables a este virus como los individuos de confianza.
El siguiente video muestra todo el proceso de realizar un robo
Este ataque solo fallará si el usuario no tiene suficiente saldo de PayPal o no tiene una tarjeta de pago asociada a la cuenta. Los servicios de accesibilidad maliciosos se activan cada vez que se inicia la aplicación de PayPal. Es decir, un ataque puede incluso ocurrir varias veces.
Hemos informado a PayPal de las técnicas maliciosas utilizadas por este troyano y la cuenta de PayPal utilizada por los atacantes para transferir los fondos robados.
Troyanos bancarios basados en ataques superpuestos
Otra peculiaridad de este tipo de malware es la utilización de ventanas de suplantación de identidad que se hacen pasar por aplicaciones legítimas.
Por lo general, el malware ejecuta ventanas emergentes basadas en el lenguaje de marcado HTML para 5 programas (Google Play, WhatsApp, Skype, Viber y Gmail). Esta lista se puede modificar en cualquier momento.
Cuatro de las cinco pantallas son formularios que piden información de la tarjeta de crédito (ver Figura 3), y la quinta tiene como destino Gmail y solicita las credenciales de la plataforma (ver Figura 4). Dudo que esto esté relacionado al hecho de que cada vez que se complete una operación, se envíe un correo electrónico de PayPal. Al tener acceso a la cuenta de Gmail de la víctima, los atacantes pueden eliminar los correos electrónicos y dejar pasar más tiempo sin que se den cuenta.
Asimismo, se mostró una ventana emergente de una aplicación bancaria legítima que solicitaba los datos de inicio de sesión de la víctima para con la cuenta en línea de la institución (ver Figura 5).
En contraste con la superposición que se muestra en la pantalla de inicio, la mayoría de los troyanos bancarios para Android utilizan esta técnica. Asimismo, el ransomware también lo hace. Esto evita que la víctima presione el botón «atrás» o «inicio» para cerrar la ventana duplicada. La única forma de evitar esta pantalla superpuesta es completar un formulario falso. Asimismo, puede disimular la ventana haciendo que se envíe un formulario en blanco.
Según nuestro análisis, los autores de troyanos también están buscando otros usos para este mecanismo de superposición de pantalla. El malware contiene secuencias de comandos que indican que el teléfono de la víctima ha sido bloqueado para que no muestre contenido de abuso sexual infantil y se puede desbloquear enviando un correo electrónico a una dirección específica. Esta técnica recuerda a los ataques de ransomware móviles anteriores que engañaban a las víctimas haciéndoles creer que sus dispositivos estaban bloqueados con multas policiales. Me pregunto si los atacantes detrás de este troyano también tienen la intención de extorsionar a sus víctimas o si esta funcionalidad es una distracción de otras actividades maliciosas que ocurren en segundo plano.
Además de las dos funciones básicas anteriores, dependiendo de los comandos recibidos del servidor C&C, el malware también puede:
- Interceptar y enviar mensajes SMS; eliminar todos los mensajes SMS; cambie la aplicación de SMS predeterminada (para engañar a la autenticación de dos factores basada en SMS)
- Obtener lista de contactos
- Hacer y enviar llamadas
- Obtener la lista de aplicaciones instaladas
- Para instalar la aplicación y ejecutarla
- Iniciar comunicación de socket
Los troyanos que abusan de los servicios de accesibilidad también se infiltran en Google Play
También encontramos cinco aplicaciones de malware con funcionalidad similar dirigidas a usuarios brasileños en Google Play Store.
Estas aplicaciones, algunas de las cuales también fueron reportadas por Dr.Web y ahora eliminadas de Google Play, son básicamente herramientas para rastrear la ubicación de otros usuarios de Android. En realidad, estas aplicaciones usan servicios de accesibilidad falsos para navegar por aplicaciones legítimas de diferentes bancos brasileños. Aparte de esto, los troyanos también intentan robar datos confidenciales superponiendo varias aplicaciones con sitios de phishing. Las aplicaciones específicas se enumeran en la sección IoC de esta publicación de blog.
Curiosamente, estos troyanos también utilizan los servicios de accesibilidad para frustrar los intentos de desinstalación al hacer clic repetidamente cada vez que se inicia la aplicación de destino (antivirus o administrador de aplicaciones) o cuando se encuentra una secuencia de sugerencias de desinstalación.
cómo mantenerse a salvo
Aquellos que hayan instalado estas aplicaciones maliciosas pueden haber sido víctimas de una de estas funciones.
Si ha instalado este troyano de PayPal, le recomendamos que verifique sus cuentas bancarias en busca de transacciones sospechosas y considere cambiar su contraseña/PIN de banca en línea y su contraseña de Gmail. Si encuentra una transacción de PayPal no autorizada, puede informar el problema al Centro de resoluciones.
Para los usuarios que no pueden desactivar la superposición de pantalla que muestra este troyano, recomendamos habilitar el modo seguro y desinstalar la aplicación llamada «Optimizador de Android» desde Configuración > (General) > Administrador de aplicaciones/Aplicaciones.
También se recomienda a los usuarios brasileños que ya hayan instalado uno de los troyanos de Google Play que lo desinstalen mediante el modo seguro.
Para protegerse contra dicho malware de Android en el futuro, le recomendamos:
- Elija descargar aplicaciones solo desde la tienda oficial de Google Play
- Siempre verifique la cantidad de descargas, las calificaciones de las aplicaciones y verifique el contenido antes de descargar aplicaciones de Google Play
- Ojo con los permisos que das a las apps que instalas
- Mantenga su dispositivo Android actualizado y use una solución de seguridad móvil confiable; Los productos de ESET detectan amenazas como Android/Spy.Banker.AJZ y Android/Spy.Banker.AKB