新型Android恶意软件旨在从PayPal账户窃取资金
ESET发现,隐藏在电池优化应用程序中的新Android木马可以从用户的PayPal账户中窃取资金,即使是受双因素身份验证保护的用户也难以幸免。不过这款名为Optimization Battery的恶意应用程序目前仅通过第三方应用程序商店提供,而非官方应用商店,这意味着到目前为止受感染的用户数量不多。
尽管如此,这个恶意应用程序仍然很危险,因为它拥有一个自动化系统,能从用户眼皮底下进行PayPal汇款,受害者甚至没有机会停止非法交易。
而发生这种情况是因为在安装过程中,应用程序请求访问Android“辅助功能”权限,这项功能涉及的权限级别较高,允许应用程序自动执行屏幕点击和操作系统交互。可是恶意应用程序获得此权限后,却不会立即使用它。直到用户自己打开PayPal应用程序,或者执行由木马触发的误导性通知。用户打开官方PayPal应用程序后,进行登录并输入双因素身份验证代码时,恶意应用程序才开始行动。
ESET研究人员观察到,木马程序滥用可访问的服务模仿设备屏幕点击。这一系列点击打开一个新的PayPal转账,输入收款人的PayPal账户和要转账的金额,然后快速批准。全程大约只需要5秒钟,对于毫无准备的用户来说,难以实行可行的措施及时干预。
默认情况下,木马程序会试图窃取该用户的PayPal帐户货币的1,000个单位。在研究人员的案例中,它是1000欧元。由于木马的编码方式,每次用户访问其PayPal应用程序时都会发生这种自动交易。唯一失败的时候是用户的钱用光了,或者他的PayPal账户里没有任何资金。
ESET在报告中提到,除了PayPal资金盗窃之外,这个木马还可以:
启动其他应用程序时显示叠加层,诱骗用户交出卡片详细信息(Google Play,WhatsApp,Viber和Skype)
启动收集Google登录凭据的Gmail应用时显示叠加层
显示登录叠加到各种移动银行应用程序的网络钓鱼凭证
拦截并发送短信; 删除所有短信; 更改默认的SMS应用程序(绕过基于SMS的双因素身份验证)
获取联系人列表
拨打和转接电话
获取已安装应用的列表
安装应用,运行已安装的应用
启动套接字通信
这些功能之所以得以实现,是因为恶意应用程序被授予访问Android易访问性服务的权限。在批准任何应用程序访问此高风险的服务之前,用户都应格外小心,尤其是安装从非官方来源安装的应用程序。目前ESET已经通知PayPal这个应用程序,并要求该公司冻结该恶意软件作者的PayPal帐户。认为可能受此应用程序影响的PayPal用户可以通过PayPal的解决方案中心请求交易撤销。