新型Android惡意軟體旨在從PayPal賬戶竊取資金
ESET發現,隱藏在電池優化應用程式中的新Android木馬可以從使用者的PayPal賬戶中竊取資金,即使是受雙因素身份驗證保護的使用者也難以倖免。不過這款名為Optimization Battery的惡意應用程式目前僅通過第三方應用程式商店提供,而非官方應用商店,這意味著到目前為止受感染的使用者數量不多。
儘管如此,這個惡意應用程式仍然很危險,因為它擁有一個自動化系統,能從使用者眼皮底下進行PayPal匯款,受害者甚至沒有機會停止非法交易。
而發生這種情況是因為在安裝過程中,應用程式請求訪問Android“輔助功能”許可權,這項功能涉及的許可權級別較高,允許應用程式自動執行螢幕點選和作業系統互動。可是惡意應用程式獲得此許可權後,卻不會立即使用它。直到使用者自己開啟PayPal應用程式,或者執行由木馬觸發的誤導性通知。使用者開啟官方PayPal應用程式後,進行登入並輸入雙因素身份驗證程式碼時,惡意應用程式才開始行動。
ESET研究人員觀察到,木馬程式濫用可訪問的服務模仿裝置螢幕點選。這一系列點選開啟一個新的PayPal轉賬,輸入收款人的PayPal賬戶和要轉賬的金額,然後快速批准。全程大約只需要5秒鐘,對於毫無準備的使用者來說,難以實行可行的措施及時干預。
預設情況下,木馬程式會試圖竊取該使用者的PayPal帳戶貨幣的1,000個單位。在研究人員的案例中,它是1000歐元。由於木馬的編碼方式,每次使用者訪問其PayPal應用程式時都會發生這種自動交易。唯一失敗的時候是使用者的錢用光了,或者他的PayPal賬戶裡沒有任何資金。
ESET在報告中提到,除了PayPal資金盜竊之外,這個木馬還可以:
- 啟動其他應用程式時顯示疊加層,誘騙使用者交出卡片詳細資訊(Google Play,WhatsApp,Viber和Skype)
- 啟動收集Google登入憑據的Gmail應用時顯示疊加層
- 顯示登入疊加到各種移動銀行應用程式的網路釣魚憑證
- 攔截併發送簡訊; 刪除所有簡訊; 更改預設的SMS應用程式(繞過基於SMS的雙因素身份驗證)
- 獲取聯絡人列表
- 撥打和轉接電話
- 獲取已安裝應用的列表
- 安裝應用,執行已安裝的應用
- 啟動套接字通訊
這些功能之所以得以實現,是因為惡意應用程式被授予訪問Android易訪問性服務的許可權。在批准任何應用程式訪問此高風險的服務之前,使用者都應格外小心,尤其是安裝從非官方來源安裝的應用程式。目前ESET已經通知PayPal這個應用程式,並要求該公司凍結該惡意軟體作者的PayPal帳戶。認為可能受此應用程式影響的PayPal使用者可以通過PayPal的解決方案中心請求交易撤銷。