ESET ha scoperto un nuovo malware per Android che combina le funzionalità di un trojan bancario con l’uso improprio dei servizi di accessibilità per rubare denaro dagli account PayPal. La software house californiana ha scoperto il malware all’interno di un’app, distribuita tramite store di terze parti, che promette di ottimizzare la batteria.
Appena dopo l’avvio, l’app termina senza offrire nessuna funzionalità e nasconde la sua icona. In realtà lo scopo principale è accedere all’account PayPal. Per convincere l’utente ad attivare il servizio di accessibilità viene mostrata una schermata apparentemente innocua relativa alla raccolta di dati statistici. Se sullo smartphone è installata l’app PayPal, il malware invita l’utente ad effettuare il login. Il suddetto servizio prende quindi il controllo dell’account e simula i passi necessari per inviare denaro all’indirizzo PayPal dell’autore del malware.
L’intero processo dura solo 5 secondi, quindi non è possibile intervenire in tempo. Dato che non cerca di rubare le credenziali di accesso, ma attende il login da parte dell’utente, il malware elude anche l’autenticazione a due fattori (2FA). L’attacco fallisce solo se non c’è credito sufficiente (il malware tenta di trasferire 1.000 euro) o se non c’è nessuna carta di credito collegata al conto PayPal. ESET ha fornito tutte le informazioni a PayPal, incluso l’indirizzo email al quale viene inviato il denaro.
La seconda funzionalità del malware sfrutta schermate fasulle di Google Play, WhatsApp, Viber e Skype per rubare i dati della carta di credito e una schermata fasulla di Gmail per rubare le credenziali di login. L’accesso al servizio di posta elettronica viene probabilmente utilizzato per eliminare le email inviate da PayPal per ogni transazione. Le schermate rimangono in primo piano anche se l’utente preme i pulsanti Indietro e Home.
Il malware può infine inviare e cancellare SMS, leggere l’elenco dei contatti, effettuare chiamate, installare ed eseguire applicazioni. ESET consiglia di verificare il conto bancario e modificare tutte le password. Per eliminare le schermate fasulle è necessario invece avviare lo smartphone in modalità provvisoria ed eliminare l’app Optimization Android. È meglio evitare il download di app da store di terze parti e utilizzare un antivirus.