ESET發現,隱藏在電池優化應用程序中的新Android木馬可以從用戶的PayPal賬戶中竊取資金,即使是受雙因素身份驗證保護的用戶也難以倖免。不過這款名為Optimization Battery的惡意應用程序目前僅通過第三方應用程序商店提供,而非官方應用商店,這意味著到目前為止受感染的用戶數量不多。
儘管如此,這個惡意應用程序仍然很危險,因為它擁有一個自動化系統,能從用戶眼皮底下進行PayPal匯款,受害者甚至沒有機會停止非法交易。
而發生這種情況是因為在安裝過程中,應用程序請求訪問Android“輔助功能”權限,這項功能涉及的權限級別較高,允許應用程序自動執行屏幕點擊和操作系統交互。可是惡意應用程序獲得此權限後,卻不會立即使用它。直到用戶自己打開PayPal應用程序,或者執行由木馬觸發的誤導性通知。用戶打開官方PayPal應用程序後,進行登錄並輸入雙因素身份驗證代碼時,惡意應用程序才開始行動。
ESET研究人員觀察到,木馬程序濫用可訪問的服務模仿設備屏幕點擊。這一系列點擊打開一個新的PayPal轉賬,輸入收款人的PayPal賬戶和要轉賬的金額,然後快速批准。全程大約只需要5秒鐘,對於毫無準備的用戶來說,難以實行可行的措施及時干預。
默認情況下,木馬程序會試圖竊取該用戶的PayPal帳戶貨幣的1,000個單位。在研究人員的案例中,它是1000歐元。由於木馬的編碼方式,每次用戶訪問其PayPal應用程序時都會發生這種自動交易。唯一失敗的時候是用戶的錢用光了,或者他的PayPal賬戶裡沒有任何資金。
ESET在報告中提到,除了PayPal資金盜竊之外,這個木馬還可以:
- 啟動其他應用程序時顯示疊加層,誘騙用戶交出卡片詳細信息(Google Play,WhatsApp,Viber和Skype)
- 啟動收集Google登錄憑據的Gmail應用時顯示疊加層
- 顯示登錄疊加到各種移動銀行應用程序的網絡釣魚憑證
- 攔截併發送短信; 刪除所有短信; 更改默認的SMS應用程序(繞過基於SMS的雙因素身份驗證)
- 獲取聯繫人列表
- 撥打和轉接電話
- 獲取已安裝應用的列表
- 安裝應用,運行已安裝的應用
- 啟動套接字通信
這些功能之所以得以實現,是因為惡意應用程序被授予訪問Android易訪問性服務的權限。在批准任何應用程序訪問此高風險的服務之前,用戶都應格外小心,尤其是安裝從非官方來源安裝的應用程序。目前ESET已經通知PayPal這個應用程序,並要求該公司凍結該惡意軟件作者的PayPal帳戶。認為可能受此應用程序影響的PayPal用戶可以通過PayPal的解決方案中心請求交易撤銷。
本文由 黑客視界 綜合網絡整理,圖片源自網絡;轉載請註明“轉自黑客視界”,並附上鍊接。
閱讀更多 黑客視界 的文章
