ΟESET araştırmacıları, resmi PayPal uygulamasını hedefleyen ve iki faktörlü PayPal kimlik doğrulamasını atlayabilen yeni bir Android Truva Atı keşfetti.
İlk olarak Kasım 2018'de ESET tarafından tespit edilen Truva Atı, uzaktan kontrol edilen bankacılık Truva Atı'nın özelliklerini, resmi PayPal uygulamasının kullanıcılarını hedef alan Android erişilebilirliğinin yeni bir kötüye kullanımı biçimiyle birleştiriyor. Şimdiye kadar, kötü amaçlı yazılım, pil ömrünü optimize etmek için bir araç olarak görünüyor ve üçüncü taraf uygulama mağazaları aracılığıyla dağıtılıyor.
Yüklendikten sonra, kötü amaçlı uygulama herhangi bir işlev sunmadan sonlandırılır ve simgesi kaybolur. Bunun ötesinde, araştırmacılar bunun iki şekilde devam ettiğini buldular.
Bu aşamada kötü amaçlı yazılımın kullandığı kılık
İlk olarak, kötü amaçlı yazılım, kullanıcıdan onu başlatmasını isteyen bir bildirim görüntüler. Kullanıcı PayPal uygulamasını açıp oturum açtığında, kötü niyetli erişim hizmeti (kullanıcı tarafından daha önce etkinleştirildiyse), saldırganın PayPal adresine para göndermek için kullanıcının tıklamalarını taklit eder.
Araştırmacılara göre, uygulama 1.000 Euro transfer etmeye çalıştı, ancak kullanılan para birimi kullanıcının konumuna bağlı. Tüm süreç yaklaşık 5 saniye sürer ve şüphelenmeyen bir kullanıcı için zamanında müdahale etmenin bir yolu yoktur.
Kötü amaçlı yazılım, PayPal oturum açma kimlik bilgilerini çalmaya dayanmadığı ve bunun yerine kullanıcıların oturum açmasını beklediği için PayPal'ın iki faktörlü kimlik doğrulamasını atlayabilir. Saldırı, yalnızca kullanıcının PayPal bakiyesi yetersizse ve hesabına bir ödeme kartı bağlamamışsa başarısız olur.
PayPal, bu Truva Atı tarafından kullanılan kötü amaçlı yazılım ve saldırganın çalınan parayı almak için kullandığı PayPal hesabı hakkında ESET tarafından bilgilendirildi.
İkinci şekilde, kötü amaçlı uygulamalar, Google Play, WhatsApp, Skype, Viber ve Gmail olmak üzere beş meşru ekran kaplı uygulamayı görüntüler, ancak sahte bir veri formu doldurulmadıkça kullanıcılar tarafından kapatılamaz. Araştırmacılar, yanlış bilgi verilmesine rağmen ekranın kaybolduğunu buldular.
Ancak, kötü amaçlı yazılım kodu, kurbanın telefonunun çocuk pornografisini izlemek için kilitlendiğini ve yalnızca belirli bir adrese bir e-posta gönderildiğinde açılabileceğini iddia eden dizeler içerir.
Google Play, WhatsApp, Viber ve Skype için kötü amaçlı yer paylaşımlı ekranlar
Gmail Kimlik Bilgileri için Kötü Amaçlı Yer Paylaşımlı Ekranda Balık Tutma
Bu iki temel işleve ek olarak ve C&C sunucusundan aldığı komutlara bağlı olarak, kötü amaçlı yazılım ayrıca SMS gönderebilir veya silebilir, kişileri indirebilir, arama yapabilir veya yönlendirebilir, uygulamaları yükleyebilir ve çalıştırabilir.
ESET, Trojan'ı yükleyen kullanıcılara banka hesaplarını şüpheli işlemlere karşı kontrol etmelerini ve internet bankacılığı kodlarını, PIN'lerini ve Gmail şifrelerini değiştirmelerini tavsiye ediyor. Yetkisiz PayPal işlemleri olması durumunda, sorunu PayPal Analiz Merkezi'ne bildirebilirler.
Ekran yerleşimi nedeniyle kullanılamayan cihaz kullanıcıları için ESET, Android'in güvenli modunu kullanmanızı ve cihaz ayarlarında Uygulama yöneticisi / Uygulamalar bölümünde "Android Optimizasyonu" adlı uygulamayı kaldırmanızı önerir.
Gelecekte Android kötü amaçlı yazılımlarından korunmak için ESET, kullanıcılara şunları önerir:
• Uygulamaları indirmek için yalnızca resmi Google Play Store'a güvenin.
• Google Play'den uygulama indirmeden önce yükleme sayısını, derecelendirmeleri ve incelemelerin içeriğini kontrol edin.
• Yükledikleri uygulamaların izinlerine dikkat edin.
• Android cihazlarını güncel tutun ve güvenilir bir mobil güvenlik çözümü kullanın.
