ΟPeneliti ESET telah menemukan Trojan Android baru, yang menargetkan aplikasi PayPal resmi dan mampu melewati otentikasi PayPal dua faktor.
Trojan, pertama kali terdeteksi oleh ESET pada November 2018, menggabungkan kemampuan Trojan perbankan yang dikendalikan dari jarak jauh dengan bentuk baru penyalahgunaan aksesibilitas Android yang menargetkan pengguna aplikasi PayPal resmi. Sejauh ini, malware muncul sebagai alat untuk mengoptimalkan masa pakai baterai dan didistribusikan melalui toko aplikasi pihak ketiga.
Setelah terinstal, aplikasi berbahaya berakhir tanpa menyediakan fungsionalitas apa pun dan ikonnya menghilang. Di luar itu, para peneliti menemukan bahwa itu berlanjut dalam dua cara.
Penyamaran yang digunakan oleh malware pada tahap ini
Pada cara pertama, malware menampilkan pemberitahuan yang meminta pengguna untuk meluncurkannya. Setelah pengguna membuka aplikasi PayPal dan masuk, layanan akses berbahaya (jika sebelumnya diaktifkan oleh pengguna) meniru klik pengguna untuk mengirim uang ke alamat PayPal penyerang.
Menurut para peneliti, aplikasi mencoba mentransfer 1.000 euro, namun mata uang yang digunakan tergantung pada lokasi pengguna. Seluruh proses memakan waktu sekitar 5 detik, dan untuk pengguna yang tidak curiga, tidak ada cara untuk campur tangan dalam waktu.
Karena malware tidak bergantung pada pencurian kredensial login PayPal dan sebagai gantinya menunggu pengguna untuk login sendiri, malware ini dapat melewati otentikasi dua faktor PayPal. Serangan gagal hanya jika pengguna memiliki saldo PayPal yang tidak mencukupi dan belum menghubungkan kartu pembayaran ke akunnya.
PayPal telah diberitahu oleh ESET tentang malware yang digunakan oleh Trojan ini dan akun PayPal mana yang digunakan penyerang untuk mendapatkan uang curian.
Cara kedua, aplikasi jahat menampilkan lima aplikasi tertutup layar yang sah - Google Play, WhatsApp, Skype, Viber, dan Gmail, tetapi tidak dapat ditutup oleh pengguna kecuali jika formulir data palsu diisi. Para peneliti menemukan bahwa bahkan dengan penyampaian informasi palsu, layar menghilang.
Namun, kode malware berisi string yang mengklaim bahwa ponsel korban telah dikunci untuk melihat pornografi anak dan hanya dapat dibuka jika email dikirim ke alamat tertentu.
Layar overlay berbahaya untuk Google Play, WhatsApp, Viber, dan Skype
Memancing Layar Hamparan Berbahaya untuk Kredensial Gmail
Selain dua fungsi dasar ini, dan tergantung pada perintah yang diterimanya dari server C&C, malware juga dapat mengirim atau menghapus SMS, mengunduh kontak, membuat atau meneruskan panggilan, menginstal dan menjalankan aplikasi, dll.
ESET menyarankan pengguna yang telah menginstal Trojan untuk memeriksa rekening bank mereka untuk transaksi mencurigakan dan mengubah kode internet banking, PIN, dan kata sandi Gmail mereka. Jika terjadi transaksi PayPal yang tidak sah, mereka dapat melaporkan masalah tersebut ke Pusat Analisis PayPal.
Untuk pengguna perangkat yang tidak dapat digunakan karena overlay layar, ESET menyarankan Anda menggunakan mode aman Android, dan menghapus aplikasi yang disebut "Optimasi Android" di bagian Manajer aplikasi / Aplikasi di pengaturan perangkat.
Agar aman dari malware Android di masa mendatang, ESET menyarankan agar pengguna:
• Hanya percayai Google Play Store resmi untuk mengunduh aplikasi.
• Periksa jumlah penginstalan, peringkat, dan konten ulasan sebelum mengunduh aplikasi dari Google Play.
• Hati-hati dengan hak akses aplikasi yang mereka instal.
• Tetap perbarui perangkat Android mereka dan gunakan solusi keamanan seluler yang andal.
