Menú Cerrar

Alerta: El nuevo troyano Android roba tu dinero usando la aplicación oficial de PayPal

Se han encontrado algunos troyanos malos en Android, pero este es posiblemente uno de los peores. Esta nueva amenaza automatiza una transacción de PayPal por $ 1000 y la envía utilizando la aplicación oficial de PayPal, incluso en cuentas con 2FA habilitado.

El secuestro de PayPal

Lo hace utilizando un par de métodos diferentes y aprovechando los servicios de accesibilidad de Android. La aplicación maliciosa se disfraza actualmente como una herramienta de optimización de Android y se ha abierto camino en los teléfonos de los usuarios a través de tiendas de aplicaciones de terceros. Así que para empezar, no utilice las tiendas de aplicaciones de terceros.

Cuando se instala, «Optimización de Android» (en serio, ¿por qué instalaría algo con un nombre como este en primer lugar?) También crea un servicio de accesibilidad llamado «Habilitar estadísticas». Luego, solicita acceso a esta función, que parece bastante inofensiva: permitirá que la aplicación supervise las acciones del usuario y recupere el contenido de la ventana. Si crees que todo está en el nombre de hacer que tu teléfono sea más rápido,  casi tiene sentido.

Pero ahí es donde las cosas empeoran porque ahora el troyano puede emular efectivamente los toques. Genera una notificación que parece que proviene de PayPal e insta al usuario a iniciar sesión.

Cuando se toca, esta notificación abre la aplicación oficial de PayPal (si está instalada), por lo que no es un intento de phishing. La aplicación oficial se abre y le pide al usuario que inicie sesión. Dado que este es un intento legítimo de inicio de sesión dentro de la aplicación oficial, 2FA no hace nada para proteger la cuenta; simplemente iniciará sesión normalmente, ingresando su código 2FA cuando ingrese.

Una vez que haya iniciado sesión, la aplicación maliciosa toma el control y transfiere $ 1000 de su cuenta de PayPal al atacante. Este proceso automatizado ocurre en menos de cinco segundos. We Live Security hizo un video de todo el proceso, y es una locura lo rápido que sucede:

Cuando te das cuenta de lo que está pasando, es demasiado tarde para detenerlo. Lo único que detiene el proceso una vez que se inicia es si el saldo de PayPal es demasiado bajo y no hay otros métodos de financiamiento. Así que solo se cancela por defecto. De lo contrario, estás fuera.

Pero no termina ahí.

El ataque de superposición

Este troyano en particular no solo ataca la cuenta de PayPal del usuario, sino que también usa la función Superposición de pantalla de Android para colocar pantallas de inicio de sesión ilegítimas sobre aplicaciones legítimas.

El malware descarga pantallas de superposición HTML para Google Play, WhatsApp, Skype y Viber, y luego las usa para obtener detalles de tarjetas de crédito. También puede crear una superposición para un inicio de sesión de Gmail, robando las credenciales de inicio de sesión del usuario.

Si bien el ataque de superposición actualmente está limitado a las aplicaciones mencionadas, la lista podría actualizarse en cualquier momento, lo que significa que este tipo de ataque se puede expandir en cualquier momento para robar básicamente cualquier tipo de información que el atacante desee. We Live Security continúa destacando que el atacante podría estar explorando otras opciones para usar la superposición:

Según nuestro análisis, los autores de este troyano han estado buscando usos adicionales para este mecanismo de superposición de pantalla. El código del malware contiene cadenas que afirman que el teléfono de la víctima ha sido bloqueado para mostrar pornografía infantil y se puede desbloquear enviando un correo electrónico a una dirección específica. Dichas reclamaciones recuerdan los primeros ataques de ransomware móvil, donde las víctimas tenían miedo de creer que sus dispositivos estaban bloqueados debido a las reputadas sanciones policiales. No está claro si los atacantes detrás de este troyano también planean extorsionar dinero de las víctimas, o si esta funcionalidad simplemente se usaría como una cobertura para otras acciones maliciosas que ocurren en segundo plano.

Cómo mantenerse seguro

Si bien tenemos una pieza detallada sobre cómo evitar el malware de Android , aquí hay un TL; DR para mantenerse a salvo:

  1. Sólo instale aplicaciones de Google Play. Evite las tiendas de aplicaciones de terceros, especialmente las que prometen aplicaciones de pago de forma gratuita.
  2. Tenga precaución al momento de sideloading.  Si está cargando una aplicación, asegúrese de que sea legítima primero.
  3. No instale aplicaciones pirateadas.  Seriamente. No solo es horrible, sino que potencialmente te abre a todo tipo de basura maliciosa.
  4. Haz tu investigación. Incluso cuando usa Google Play, lea reseñas y preste atención, mientras que es más seguro que la mayoría de las tiendas de terceros, Play Store no es completamente impermeable al malware.

Fuente: We Live Security

Facebook Comments
Si te gustó esta publicación o consideras que contiene información que puede ser útil para otros, estaremos muy agradecidos de que la compartas por tus redes sociales.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Precious Metals Data, Currency Data, Charts, and Widgets Powered by nFusion Solutions