Novo Trojan Android contorna a app oficial do PayPal

Há um novo Trojan a atacar os utilizadores de Android, e vem com alguns novos truques desagradáveis na manga. Detetado pela primeira vez, em novembro de 2018, pela ESET, o malware combina os recursos de um Trojan bancário controlado remotamente com novas capacidades de acesso à app do PayPal através de Android

Até ao momento, o malware tem estado disfarçado sob a forma de uma ferramenta de otimização de bateria e é distribuído através de lojas de aplicações de terceiros.

Como funciona?

Depois de ser descarregado, o app termina e oculta seu ícone. A partir desse momento, a sua funcionalidade pode ser dividida em duas partes, conforme descrito a seguir.

Serviço de acesso malicioso cujo alvo é o PayPal

A primeira função do malware, roubar dinheiro das contas do PayPal, requer a ativação de um serviço de acesso mal-intencionado. Conforme a Fig. 2, essa solicitação surge de forma inócua e é apresentada ao utilizador como se tratando de um serviço de estatísticas que é necessário ativar.

Se o aplicativo oficial do PayPal estiver instalado no dispositivo comprometido, o malware exibirá um alerta de notificação a solicitar que o utilizador o inicie. Quando o utilizador abre o aplicativo do PayPal e efetua o login, o serviço de acesso mal-intencionada (se ativado anteriormente pelo utilizador) acompanha todos os passos do utilizador, imitando os cliques do utilizador para enviar dinheiro para o endereço do atacante no PayPal.

Durante a nossa análise, o aplicativo tentou transferir 1.000 euros, no entanto, a moeda usada depende da localização do utilizador. Todo o processo leva cerca de 5 segundos e, para um utilizador que não esteja de sobreaviso, não há forma possível de intervir a tempo.

Como o malware não depende do roubo de credenciais de login do PayPal e, em vez disso, espera que os utilizadores façam login no aplicativo oficial do PayPal, ele também ignora a autenticação de dois fatores do PayPal. Os utilizadores com 2FA (dois fatores de autenticação) simplesmente concluem uma etapa extra como parte do login, como fariam normalmente, mas ficam tão vulneráveis a ataques deste Trojan quanto aqueles que não usam 2FA.

Os invasores falharão apenas se o utilizador tiver saldo insuficiente no PayPal e nenhum cartão de pagamento associado à conta. O serviço de acesso mal-intencionado é ativado sempre que o aplicativo do PayPal é iniciado, o que significa que o ataque pode ocorrer por diversas vezes.

A PayPal foi notificada acerca da técnica maliciosa usada por este Trojan e da conta utilizada pelo atacante para receber fundos roubados.

Trojan bancário confiando em ataques de sobreposição

A segunda função do malware consiste na utilização de ecrãs de phishing exibidos secretamente em aplicativos legítimos e segmentados.

Por defeito, os downloads do malware baseados em HTML dão origem à sobreposição de ecrãs para cinco aplicações – Google Play, WhatsApp, Skype, Viber e Gmail – mas esta lista inicial pode ser atualizada a qualquer momento.

Quatro dos cinco ecrãs de sobreposição fazem o phish para detalhes de cartão de crédito (Fig. 3); aquele cujo objeto é o Gmail surge após as credenciais de login do Gmail (Fig. 4). Suspeitamos que isso possa ter como objetivo o controlo da conta de Gmail do utilizador, já que o PayPal envia notificações por e-mail por cada transação concluída. Com o acesso à conta do Gmail da vítima, os atacantes podem excluir esses e-mails para passarem despercebidos por mais tempo.

Também vimos ecrãs de sobreposição para aplicativos bancários legítimos que solicitam credenciais de login para as contas bancárias online das vítimas (Fig. 5).

Ao contrário das sobreposições usadas pela maioria dos Trojans bancários para Android, as que estão aqui em causa são exibidas na tela de bloqueio de primeiro plano – uma técnica também usada pelo ransomware Android. Isto impede que as vítimas removam a sobreposição tocando no botão Voltar ou no botão Início. A única forma de passar à frente esse ecrã de sobreposição é preencher o formulário falso, mas, felizmente, mesmo entradas inválidas e aleatórias fazem com que esses ecrãs desapareçam.

De acordo com nossa análise, os autores deste Trojan têm procurado outras utilizações para esse mecanismo de sobreposição de ecrãs. O código do malware contém strings que afirmam que o telefone da vítima foi bloqueado pela exibição de pornografia infantil, mas que o mesmo pode ser desbloqueado com o envio de um e-mail para um endereço específico.

Tais alegações são reminiscentes dos primeiros ataques de ransomware móvel, onde as vítimas acreditaram que os seus dispositivos estavam mesmo bloqueados devido a sanções policiais. Não está claro se os atacantes por detrás desse Trojan também estão a planear extorquir dinheiro das vítimas, ou se esta funcionalidade seria apenas usada como cobertura para outras ações maliciosas que acontecem em segundo plano.

Além das duas funções principais descritas acima e dependendo dos comandos recebidos de seu servidor C & C, o malware pode também:

• Intercetar e enviar SMS; excluir todas as SMS; alterar o aplicativo de SMS por defeito (para ignorar a autenticação de dois fatores baseada em SMS)
• Obter a lista de contatos
• Fazer e encaminhar chamadas
• Obter a lista de aplicações instalados
• Instalar app, executar app instaladas
• Iniciar comunicação através do socket

Trojans também à espreita do Google Play

Foram igualmente identificadas cinco aplicações maliciosas com recursos semelhantes na Google Play Store, cujo alvo são os utilizadores brasileiros.

As app, algumas das quais mencionadas pelo Dr. Web e agora removidas do Google Play, são ferramentas para rastrear a localização de outros utilizadores Android. Na realidade, as aplicações usam um serviço de acessibilidade mal-intencionado para navegar dentro de apps legítimas de vários bancos brasileiros. Além disso, os trojan fazem o phish de informações confidenciais, sobrepondo aplicações com sites de phishing.

Curiosamente, estes trojans também usam a Acessibilidade para impedir tentativas de desinstalação clicando repetidamente no botão “Voltar” sempre que uma aplicação de antivírus direcionada ou gestor de aplicações forem iniciados, ou quando mensagens a sugerir a desinstalação forem detetadas em primeiro plano.

Como se manter seguro

Todos aqueles que instalaram estas app maliciosas provavelmente já foram vítimas de uma de suas funções maliciosas.

Se você instalou o trojan criado para o PayPal, aconselhamos que verifique sua conta bancária a fim de detetar transações suspeitas e considere alterar a sua password/código PIN do seu banco online, bem como a password do Gmail. Caso detete transações não autorizadas do PayPal, você pode sempre relatar o problema à Central de soluções do PayPal.

Para dispositivos que fiquem inoperacionais dada a sobreposição de ecrãs de bloqueio exibidos por este trojan, recomendamos utilizar o modo de segurança do Android e continuar a desinstalação da utilizando uma aplicação chamada “Otimização de Android” em Configurações> (Geral)> Gestor de aplicações / Aplicações.

A desinstalação no modo de segurança também é recomendada para utilizadores brasileiros que instalaram um dos trojan do Google Play.

Para se manter seguro contra malware Android de futuro, aconselhamos:

• Utilize apenas a loja oficial do Google Play para baixar aplicações
• Verifique o número de downloads, as classificações das aplicatções e o conteúdo das reviews antes de fazer o download das apps do Google Play
• Preste atenção às permissões que concede às aplicações que instala
• Mantenha seu dispositivo Android atualizado e use uma solução de segurança móvel de confiança; as soluções ESET detetam essas ameaças como Android/Spy.Banker.AJZ e Android/Spy.Banker.AKB