Los investigadores de ESET han identificado un nuevo troyano que afecta a los usuarios de Android y que cuenta con algunos trucos bajo la manga para robar cuentas de PayPal. Se trata de Optimization Android, aplicación que se oferta como una optimizadora del rendimiento de la batería de los dispositivos, pero que en realidad actúa como un lobo feroz al entrar en el sistema.
Lukas Stefanko ha explicado que el malware fue detectado primero por ESET en noviembre de 2018. Dijo que combina las capacidades de un troyano bancario, controlado de manera remota, con una novedosa manera de aprovecharse del servicio de accesibilidad de Android. De esa forma perjudica a usuarios de la aplicación oficial de PayPal.
El Investigador ha comentado que, hasta ahora, el malware enmascarado como herramienta para optimizar el rendimiento de la batería es distribuido a través de tiendas de aplicaciones de terceras partes.
Su forma de operar consiste en lo siguiente: “luego de ser ejecutada, la aplicación finaliza y esconde el ícono. De aquí en adelante, su funcionalidad puede dividirse en dos partes”.
La primera función del malware es un servicio de accesibilidad malicioso dirigido a PayPal, cuya finalidad es robar dinero de la cuenta de PayPal de la víctima. Esto requiere la activación de ese servicio de accesibilidad malicioso que es presentado al usuario como una solicitud, de apariencia inofensiva, que pide “habilitar” el servicio de estadísticas.
“Si la aplicación oficial de PayPal es instalada en el equipo comprometido, el malware despliega una notificación de alerta sugiriendo al usuario que ejecute la app. Una vez que el usuario abre la app de PayPal y se registra, el servicio de accesibilidad malicioso (si fue habilitado previamente por el usuario) entra en acción e imita los clics del usuario para enviar dinero a la dirección de PayPal del atacante”.
Stefanko ha señalado que Optimization Android intentó transferir mil euros durante el análisis de ESET, pero la moneda utilizada dependerá de la ubicación del usuario. Todo el proceso completo se reduce a cinco segundos. Si se trata de un usuario desprevenido, no hay posibilidad de intervenir a tiempo.
“Debido a que el malware no se basa en el robo de credenciales de ingreso a la cuenta de PayPal, sino que espera a que el usuario se registre a través de la aplicación oficial de PayPal por su propia cuenta, el ataque logra evadir el doble factor de autenticación (A2F)”.
Así, los usuarios que tengan habilitada la opción de A2F simplemente completarán un paso más en el proceso de ingreso a sus respectivas cuentas, tal como lo harían normalmente, pero terminan siendo igual de vulnerables a este troyano que aquellos que no utilizan esa A2F.
Es importante destacar que los atacantes fallan únicamente si el usuario tiene un balance insuficiente en PayPal y si no tiene una tarjeta asociada a la cuenta. El servicio de accesibilidad malicioso se activa cada vez que la aplicación de PayPal es ejecutada, es decir, el ataque puede producirse múltiples veces.
“Hemos notificado a PayPal de esta técnica maliciosa utilizada por este troyano y de la cuenta de PayPal utilizada por los atacantes para recibir los fondos robados”.
Ataques de phishing
La segunda funcionalidad de Optimization Android se basa en el uso de falsas pantallas (phishing) que son desplegadas de forma encubierta en legítimas aplicaciones apuntadas.
El malicioso, por defecto, descarga falsas pantallas basadas en HTML para superponerlas sobre cinco aplicaciones distintas: Google Play, WhatsApp, Skype, Viber y Gmail, aunque se ha informado que lista de aplicaciones puede ser actualizada en cualquier momento.
En la publicación se ha detallado que cuatro de las cinco pantallas falsas buscan robar los datos de las tarjetas de crédito y, la que suplanta la identidad de Gmail, pretende robar las credenciales de acceso a la cuenta oficial.
“Sospechamos que esto se conecta con la funcionalidad dirigida a PayPal, ya que PayPal envía notificaciones por correo por cada transacción que se realiza. Con acceso a la cuenta de Gmail de la víctima, los atacantes pueden eliminar dichos correos para pasar desapercibidos durante más tiempo”.
Los investigadores de ESET también se han percatado de pantallas de superposición para aplicaciones bancarias legítimas, que solicitan credenciales para el acceso a las cuentas en la banca online de las víctimas. El National Australia Bank (Banco Nacional de Australia) ha sido uno de los casos.
Estas funcionalidades superpuestas son desplegadas en pantallas en primer plano que quedan bloqueadas (una técnica también utilizada por el ransomware para Android), a diferencia de otras utilizadas por la mayoría de los troyanos bancarios para Android.
Esto, según Lukas Stefanko, previene que la víctima remueva la pantalla superpuesta presionando el botón de retroceso o el botón hacia la pantalla de inicio. “La única manera de evadir esta pantalla superpuesta es completando el falso formulario pero, afortunadamente, al menos de manera aleatoria, colocar cualquier tipo de dato puede llegar a hacer que esta pantalla desaparezca.
Análisis de ESET
De acuerdo al análisis de la compañía, el autor de este troyano ha estado buscando otras formas de utilizar el mecanismo de superposición de pantallas. Hasta ahora no les queda claro si los atacantes detrás de este troyano también planean extorsionar a las víctimas a cambio de dinero o si esta funcionalidad sería utilizada para esconder otras acciones maliciosas en segundo plano.
Además de las dos principales funciones, dependiendo de los comandos recibidos desde su Servidor de Control y Comando (C&C), el malware también puede interceptar y enviar mensajes SMS, borrar todos los mensajes SMS y hacer modificaciones en la aplicación por defecto para mensajes SMS con la intención de anular sistemas de A2F basados en SMS.
También puede obtener la lista de contactos, hacer y responder llamadas, hacerse de la lista de aplicaciones instaladas, instalar aplicaciones y ejecutar las instaladas e iniciar comunicación “socket”, según lo anunciado desde ESET.
Los usuarios de Android que ya hayan descargado estas aplicaciones maliciosas tendrán que cambiar la contraseña de acceso al sistema de banca online o código PIN, así como la contraseña de Gmail. “En caso de transacciones de PayPal no autorizadas, puedes informar un problema en el Centro de Resoluciones de PayPal”.
“En el caso de dispositivos que son inutilizables debido al bloqueo de pantalla desplegado por este troyano, recomendamos utilizar el modo seguro de Android y proceder a desinstalar una aplicación llamada ‘Optimization Android’ desde el menú administración de aplicaciones en la sección configuración”.
Desde ESET igualmente recomiendan descargar aplicaciones solamente de la tienda oficial de Google Play, asegurarse de revisar el número de descargas, calificación y comentarios, así como prestar atención a los permisos que se le conceden a las aplicaciones que instalas. Se debe mantener el dispositivo Android actualizado y utilizar una solución de seguridad confiable para móviles.
