Android上针对PayPal用户的木马

你从第三方安卓App商店下载安卓电池优化程序吗？到底出了什么问题？

上个月，研究人员从一个未公开的第三方应用程序商店下载了名为“Optimization Android”的电源管理应用程序。他们发现并没有优化手机电池，而是更改了手机上的辅助功能设置，启用了覆盖安卓辅助功能，并尝试抢夺它们。

安卓手机上的叠加层专为残障人士设计。它们允许一个应用程序“看到”另一个应用程序的内容并与之交互。在犯罪分子手中，它一直是犯罪分子欺骗受害者泄露私人财务数据的流行工具。

对于流氓应用程序“Optimization Android”，该应用程序首次启动时，更改了受害者的辅助功能设置以启用叠加，然后关闭。该应用甚至没有尝试优化手机的电池。

接下来，应用程序针对安装了PayPal应用程序的手机。

“恶意软件的第一个功能是从受害者的PayPal帐户中窃取资金，需要激活恶意辅助功能服务，”ESET研究员Lukas Stefanko在周二的  帖子中说。“这个请求是从无害的”启用统计“服务呈现给用户的。”

然后恶意软件向用户发送通知，告知他们启动官方PayPal应用程序（如果它安装在受感染的设备上），他们需要“立即确认您的帐户”。

一旦用户打开PayPal应用程序，恶意可访问性服务就会使用其新发现的辅助功能服务功能模仿用户的点击，以便向攻击者的PayPal地址汇款。

当Stefanko分析恶意软件时，他说该应用程序试图转移1,000欧元。

Stefanko说，整个过程大约需要五秒钟，对于一个毫无戒心的用户来说，不能及时干预这个过程。

“因为恶意软件不依赖于窃取PayPal登录凭证而是等待用户自己登录官方PayPal应用程序，它还绕过了PayPal的双因素身份验证（2FA），”Stefanko说。“启用2FA的用户只需完成一个额外的步骤作为登录的一部分， - 正如他们通常所做的那样 - 但最终会像那些不使用2FA的攻击一样容易受到此特洛伊木马攻击。”

根据研究人员的说法，每次启动PayPal应用程序时都会激活恶意辅助功能服务 - 这意味着会多次发生攻击。



恶意软件除了窃取PayPal帐户之外还有许多其他恶意功能，比如使用自动屏幕点击技术，

与所有重叠式恶意软件一样，它可以拦截，发送或删除短信，获取用户的联系人列表，拨打或转发电话。此外，该木马能够为该设备上的目标应用程序（Google Play，WhatsApp，Skype，Viper和Gmail）启动基于HTML的叠加屏幕，这些应用程序可用于信用卡详细信息。

安全专家提醒他们，安卓用户应远离第三方应用，而是坚持使用Google Play。

Comparitech.com的隐私权倡导者Paul Bischoff在一封电子邮件中说：“尽管这种恶意软件非常先进，但可以通过坚持使用Google Play这样的官方应用商店轻松避免。此恶意应用程序位于第三方应用程序商店，进入门槛较低。恶意软件喜欢伪装成“优化”和“清理”等应用程序，因为它们需要更高级的权限来访问安卓设备。“