Capaz de evadir el doble factor de autenticación.
La firma de seguridad informática, ESET, identificó un troyano que afecta a usuarios de dispositivos Android que utilizan la app oficial de PayPal y cuyo principal objetivo es sustraer dinero de la cuenta de la víctima, robar datos de tarjetas de crédito y credenciales de acceso a la cuenta oficial de Gmail.
El malware se enmascara como una herramienta para optimizar el rendimiento de la batería y es distribuido a través de tiendas de aplicaciones de terceros, es decir, por fuera de la Play Store; además, combina capacidades de un troyano bancario.
El troyano, que es controlado de manera remota, puede dividirse en dos partes: como un servicio de accesibilidad malicioso dirigido a PayPal o como troyano bancario con varias funcionalidades, explicó la empresa especializada.
En el primer caso, el malware busca robar dinero de la cuenta de PayPal de la víctima y para ello requiere la activación de un servicio de accesibilidad malicioso que es presentado al usuario como una solicitud para “habilitar” el servicio de estadísticas.
«Si la aplicación oficial de PayPal es instalada en el equipo comprometido, una vez que el usuario abra la app y se registre, el servicio de accesibilidad malicioso (si fue habilitado previamente por el usuario) imita los clics del usuario para enviar dinero a la dirección de PayPal del atacante».
La segunda funcionalidad del malware consiste en usar falsas pantallas (phishing) basadas en HTML las cuales se superponen en aplicaciones como Google Play, WhatsApp, Skype, Viber y Gmail con el objetivo de robar los datos de las tarjetas de crédito y las credenciales de acceso a la cuenta oficial de Gmail.
“Durante el análisis de ESET, la aplicación intentó transferir 1000 euros, aunque la moneda utilizada dependerá de la ubicación del usuario. Todo el proceso completo insume cerca de cinco segundos, y para un usuario desprevenido, no hay posibilidad de intervenir a tiempo», refirió Camilo Gutiérrez, jefe del Laboratorio de Investigación de ESET Latinoamérica.
El especialista explicó que debido a que el malware no se basa en el robo de credenciales, sino que espera a que el usuario se registre a través de la aplicación oficial de PayPal por su propia cuenta, el ataque logra evadir el doble factor de autenticación.
Ante la presencia de este malware, ESET recomendó revisar las cuentas bancarias para detectar transacciones sospechosas y considerar cambiar la contraseña de acceso al sistema de banca online y código PIN, además de la contraseña de Gmail, y en el caso de transacciones de PayPal no autorizadas, se puede informar al Centro de resoluciones de esa plataforma.
En caso de que el dispositivo esté bloqueado por la infección del troyano, se debe utilizar el modo seguro de Android y desinstalar la aplicación llamada “Optimization Android” desde el menú administración de aplicaciones en la sección configuración.
Además, la firma sugirió medidas de seguridad como descargar apps únicamente desde Google Play, además de verificar el número de descargas, calificación y comentarios, poner especial atención a los permisos que se conceden al momento de su instalación, mantener el dispositivo actualizado y utilizar una solución de seguridad confiable para móviles.
C$T-GM