Κατά καιρούς έχουν βρεθεί κάποια trojan στο Android, αλλά αυτό είναι ίσως ένα από τα χειρότερα. Αυτή η νέα απειλή αυτοματοποιεί μια συναλλαγή PayPal αξίας $1000 και την αποστέλλει χρησιμοποιώντας την επίσημη εφαρμογή της ίδιας της PayPal, ακόμη και σε λογαριασμούς με έλεγχο δύο σημείων (2FA).
Αυτό γίνεται χρησιμοποιώντας διαφορετικές, των μέχρι τώρα μεθόδων και αξιοποιώντας τις υπηρεσίες προσβασιμότητας του Android. To trojan αυτή τη στιγμή συγκαλύπτει τον εαυτό του ως εργαλείο βελτιστοποίησης του Android με ονομασία Optimization Android και έχει φτάσει στα τηλέφωνα χρηστών μέσω καταστημάτων τρίτων κατασκευαστών. Εκτός από το επίσημο Play store υπάρχουν και καταστήματα τρίτων οπότε συμβουλή προς αρχάριους: μην χρησιμοποιείτε καταστήματα τρίτων κατασκευαστών. Χρησιμοποιείτε μόνο το κατάστημα Play store.
Όταν εγκαταστήσετε το πρόγραμμα “Optimization Android” (Βελτιστοποίηση Android) δημιουργείται μια υπηρεσία που ονομάζεται “Enable statistics” (Ενεργοποίηση στατιστικών στοιχείων). Φυσικά η υπηρεσία αυτή ζητά πρόσβαση να παρακολουθεί τις ενέργειες των χρηστών και να ανακτά το περιεχόμενο των παραθύρων.
Αλλά κάπου εκεί τα πράγματα αρχίζουν να χειροτερεύουν καθώς ο δούρειος ίππος μπορεί να μιμηθεί ειδοποιήσεις. Δημιουργεί μια ειδοποίηση που μοιάζει με αυτές τις PayPal που ωθεί τον χρήστη να συνδεθεί.
Όταν πατήσετε την ειδοποίηση, αυτή ανοίγει την επίσημη εφαρμογή της PayPal (αν είναι εγκατεστημένη) και ζητά από το χρήστη να συνδεθεί. Εφόσον πρόκειται για μία νόμιμη προσπάθεια σύνδεσης στην επίσημη εφαρμογή της Paypal το 2FA δεν κάνει τίποτα για να εξασφαλίσει τον λογαριασμό σας, πέρα το ότι σας στέλνει ένα επιπλέον κωδικό τον οποίο όταν το τοποθετήσετε θα συνδεθείτε κανονικά.
Αφού συνδεθείτε, η κακόβουλη εφαρμογή αναλαμβάνει τη μεταφορά των $1000 από τον λογαριασμό σας στο PayPal προς τον εισβολέα. Αυτή η αυτοματοποιημένη διαδικασία συμβαίνει σε λιγότερα από πέντε δευτερόλεπτα. Η ESET έκανε ένα βίντεο ολόκληρης της διαδικασίας και είναι πολύ τρελό πόσο γρήγορα πραγματοποιείται όλη η διαδικασία:
Μόλις καταλάβετε τι συμβαίνει, είναι πολύ αργά για να το σταματήσετε. Το μόνο πράγμα που σταματά τη διαδικασία είναι ότι ίσως το υπόλοιπο σας στην PayPal είναι πολύ χαμηλό και δεν έχετε προσθέσει άλλες μεθόδους χρηματοδότησης. Έτσι, απλά η Paypal ακυρώνει την συναλλαγή λόγω έλλειψης χρημάτων. Διαφορετικά, θα πρέπει να το αντιληφθείτε εντός μία εβδομάδας και να προβείτε σε “μη αποδοχή συναλλαγής” στην Paypal, ζητώντας της να ερευνήσει και να ακυρώσει την συναλλαγή, διαδικασία που διαρκεί τουλάχιστον 1 μήνα.
Αλλά δεν τελειώνει εκεί. Όχι μόνο το συγκεκριμένο trojan επιτίθεται στον λογαριασμό του PayPal του χρήστη, αλλά χρησιμοποιεί επίσης τη δυνατότητα Screen Overlay του Android για να τοποθετήσει παράνομες οθόνες σύνδεσης πάνω σε νόμιμες εφαρμογές.
To trojan προβάλλει HTML οθόνες επικάλυψης στο Google Play, στο WhatsApp, στο Skype και στο Viber και στη συνέχεια τις χρησιμοποιεί για να καταργήσει τα στοιχεία της πιστωτικής κάρτας. Μπορεί επίσης να δημιουργήσει μια επικάλυψη στο Gmail, κλέβοντας τα διαπιστευτήρια σύνδεσης του χρήστη.
Ενώ η επίθεση επικαλύψεων περιορίζεται επί του παρόντος στις προαναφερθείσες εφαρμογές, η λίστα θα μπορούσε να ενημερωθεί ανά πάσα στιγμή, πράγμα που σημαίνει ότι αυτός ο τύπος επίθεσης μπορεί να επεκταθεί σε οποιοδήποτε σημείο για να κλέψει κάθε τύπο πληροφορίας που θέλει ο εισβολέας. Η υπηρεσία We Live Security της ESET υπογραμμίζει ότι ο εισβολέας θα μπορούσε να εξερευνήσει και άλλες επιλογές κάνοντας χρήση της επικάλυψης
