Er zijn enkele slechte Trojaanse paarden gevonden op Android, maar dit is mogelijk een van de ergste. Deze nieuwe bedreiging automatiseert een PayPal-transactie voor $ 1000 en verzendt deze via de officiële PayPal-app, zelfs op accounts waarvoor 2FA is ingeschakeld.
De PayPal-kaping
Het doet dit met behulp van een aantal verschillende methoden en maakt gebruik van de toegankelijkheidsservices van Android. De kwaadaardige app vermomt zichzelf momenteel als een Android-optimalisatietool en vindt zijn weg naar de telefoons van gebruikers via app-winkels van derden. Gebruik dus om te beginnen geen app-winkels van derden.
Na installatie maakt “Optimalisatie Android” (serieus, waarom zou u in de eerste plaats iets met een naam als deze installeren?) Ook een toegankelijkheidsservice gemaakt met de naam “Statistieken inschakelen”. Vervolgens vraagt het toegang tot deze functie, wat onschadelijk genoeg lijkt – het stelt de app in staat om gebruikersacties te volgen en vensterinhoud op te halen. Als je denkt dat het allemaal in de naam is om je telefoon sneller te maken, het is bijna klinkt logisch.
Maar dat is waar het erger wordt, want nu kan de trojan aanrakingen effectief nabootsen. Het genereert een melding die eruitziet alsof deze van PayPal is en de gebruiker aanspoort om in te loggen.
Wanneer erop wordt getikt, wordt de officiële PayPal-app geopend (indien geïnstalleerd), dus dit is geen phishing-poging. De officiële app wordt geopend en vraagt de gebruiker om in te loggen. Aangezien dit een legitieme inlogpoging is binnen de officiële app, doet 2FA niets om het account te beveiligen. U logt gewoon in zoals normaal en voert uw 2FA-code in wanneer deze binnenkomt.
Zodra je bent ingelogd, neemt de kwaadaardige app het over en wordt $ 1000 overgemaakt van je PayPal-account naar de aanvaller. Dit geautomatiseerde proces gebeurt in minder dan vijf seconden. We Live Security heeft een video gemaakt van het hele proces en het is best gek hoe snel het allemaal gaat:
Tegen de tijd dat u zich realiseert wat er aan de hand is, is het te laat om het te stoppen. Het enige dat het proces stopt zodra het is gestart, is als het PayPal-saldo te laag is en er geen andere financieringsmethoden zijn. Dus het wordt standaard geannuleerd. Anders heb je een grote mis.
Maar daar houdt het niet op.
De overlay-aanval
Deze specifieke trojan valt niet alleen het PayPal-account van de gebruiker aan, maar het gebruikt ook de functie Schermoverlay van Android om onwettige inlogschermen over legitieme apps te plaatsen.
De malware downloadt HTML-overlay-schermen voor Google Play, WhatsApp, Skype en Viber en gebruikt ze vervolgens om creditcardgegevens te phishing. Het kan ook een overlay maken voor een Gmail-login, waarbij de inloggegevens van de gebruiker worden gestolen.
Hoewel de overlay-aanval momenteel beperkt is tot de bovengenoemde apps, kan de lijst op elk moment worden bijgewerkt, wat betekent dat dit type aanval op elk moment kan worden uitgebreid om in principe elk type informatie te stelen dat de aanvaller wil. We Live Security benadrukt verder dat de aanvaller andere opties zou kunnen onderzoeken om de overlay te gebruiken:
Volgens onze analyse zijn de auteurs van dit Trojaans paard op zoek naar verdere toepassingen voor dit mechanisme voor schermoverlay. De code van de malware bevat tekenreeksen die beweren dat de telefoon van het slachtoffer is vergrendeld voor het weergeven van kinderpornografie en kan worden ontgrendeld door een e-mail naar een opgegeven adres te sturen. Dergelijke claims doen denken aan vroege mobiele ransomware-aanvallen, waarbij de slachtoffers bang waren te geloven dat hun apparaten waren vergrendeld vanwege vermeende politiesancties. Het is onduidelijk of de aanvallers achter deze Trojan ook van plan zijn om geld van slachtoffers af te persen, of dat deze functionaliteit alleen zou worden gebruikt als dekmantel voor andere kwaadaardige acties die op de achtergrond plaatsvinden.
Hoe u veilig kunt blijven
Hoewel we een gedetailleerd stuk hebben over het vermijden van Android-malware, is hier een TL; DR om veilig te blijven:
- Installeer alleen apps van Google Play. Vermijd app-winkels van derden, vooral winkels die gratis betaalde apps beloven.
- Wees voorzichtig bij het sideloaden. Als u een app sideload, moet u eerst controleren of deze legitiem is.
- Installeer geen illegale apps. Ernstig. Het is niet alleen waardeloos, maar stelt je mogelijk open voor allerlei soorten kwaadaardige onzin.
- Doe je onderzoek. Zelfs als u Google Play gebruikt, recensies leest en oplet – hoewel de Play Store veiliger is dan de meeste winkels van derden, is de Play Store niet volledig ongevoelig voor malware.
VERWANT: Malware op Android vermijden
Bron: We Live Security