Una falsa app de optimización de Android roba dinero de cuentas de PayPal

También puedes leer... Cómo evaluar las opciones de SD-WAN La Seguridad es Infinity Gestión de cuentas con privilegios para Dummies Cómo combatir las amenazas cifradas Cómo vencer al malware evasivo

Investigadores de ESET han descubierto una aplicación de optimización de la batería llamada " Optimization Android " de una tienda de aplicaciones de terceros no revelada. Lo que encontraron fue que, en lugar de optimizar la batería del teléfono, la app cambiaba la configuración de Accesibilidad en el teléfono, habilitando una función de accesibilidad de Android superpuesta.
Las superposiciones, en teléfonos Android, fueron diseñadas para personas con discapacidades. Permiten que una aplicación "vea" el contenido de otra aplicación e interactúe con ella. En manos de los delincuentes, ha sido durante mucho tiempo una herramienta popular para engañar a las víctimas para que divulguen información financiera privada. En el caso de la app maliciosa "Optimization Android", una vez cambiada la configuración de accesibilidad de la víctima para habilitar las superposiciones, esta se cerró.

"La principal función del malware, que es robar dinero de las cuentas de PayPal de sus víctimas, requiere la activación de un servicio de accesibilidad malicioso", asegura el investigador de ESET, Lukas Stefanko. "Esta solicitud se presenta al usuario como parte del servicio 'Habilitar estadísticas' aparentemente inocuo".

Luego, el malware envía al usuario una notificación que le indica que inicie la aplicación oficial de PayPal (si está instalada en el dispositivo comprometido), bajo el pretexto de que necesitan "confirmar su cuenta de inmediato". Una vez que el usuario abre la aplicación PayPal, el servicio de accesibilidad maliciosa imita los clics del usuario utilizando sus nuevas capacidades para enviar dinero a la cuenta de PayPal del atacante. En su análisis, Stefanko señala que la aplicación intentó transferir 1.000 euros.

“Todo el proceso se realiza en aproximadamente cinco segundos, y para un usuario desprevenido, no hay una forma viable de intervenir a tiempo”, apunta Stefanko. "Debido a que el malware no se basa en el robo de las credenciales de inicio de sesión de PayPal, sino que espera a que los usuarios inicien sesión en la aplicación oficial, también pasa por alto la autenticación de dos factores de PayPal (2FA. Los usuarios con 2FA habilitado simplemente completan un paso adicional como parte del inicio de sesión, como lo harían normalmente, pero terminan siendo tan vulnerables al ataque de este troyano como los que no usan 2FA".

Según los investigadores, el servicio de accesibilidad malicioso se activa cada vez que se lanza la aplicación de PayPal, lo que significa que el ataque podría tener lugar varias veces. Además, el malware tiene muchas otras capacidades maliciosas más allá del robo de cuentas de PayPal. Como todo malware superpuesto, puede interceptar, enviar o eliminar mensajes SMS, obtener la lista de contactos del usuario, hacer o reenviar llamadas. Además, el troyano es capaz de lanzar pantallas de superposición basadas en HTML para aplicaciones específicas en el dispositivo, a fin de obtener información sobre las tarjetas de crédito.