新型Android木马可绕过双因素认证从Paypal账户窃取用户资金

iso60001  2171天前

ESET研究人员最近发现了一种新的Android木马,它使用了一种针对官方PayPal应用程序的新技术,能够绕过PayPal的双因素认证。

近期网络上出现了一个针安卓用户的新木马,它有一些特殊的技巧。

2018年11月ESET首次检测到该木马,它将银行木马的远程控制功能与一种Android可访问性服务新的滥用方法相结合,针对使用官方Paypal应用的用户。

截止到撰写本文时,该恶意软件伪装成电池优化工具,并通过第三方APP商店进行传播。

22.png

它是如何工作的?

在启动后,其在没有提供任何服务的情况下终止运行,并隐藏软件图标。从这时起,其主要活动可以分解为两个部分,如下面所述。

针对Paypal的恶意可访问性服务

恶意软件的第一个功能,从受害者的PayPal账户偷钱,这需要激活恶意的可访问性服务。如下图所示,这个请求在用户看起来由像是“无害”的“启用统计 ”的服务。

33.png

如果官方PayPal应用程序安装在已被入侵的设备上,恶意软件会显示一个通知警报,提示用户启动它。一旦用户打开PayPal并登录,恶意的可访问性服务(如果先前用户启用它)会模仿用户点击将钱款发送到攻击者的PayPal地址。

在我们的分析该软件过程中,APP试图转出1000欧元,所转出的货币品种取决于用户的位置。整个过程大约需要5秒钟,对于一个毫无戒心的普通用户来说,没有任何可行的方法来阻止转账行为。

因为恶意软件并不是窃取PayPal的登录凭据,而是等待用户自己登录到PayPal,所以它也绕过PayPal的双因素认证(2FA)。启用了2FA的用户在登录时只需完成一个额外的步骤,就像他们通常所做的那样,但是最终和那些不使用2FA的用户一样容易受到木马的攻击。

下面的实践视频演示了这一过程。

https://www.youtube.com/embed/yn04eLoivX8?enablejsapi=1

攻击者只有在用户没有足够的PayPal余额以及没有绑定支付卡时才会攻击失败。每当PayPal应用程序启动时,恶意的可访问性服务就被激活,这意味着用户会被攻击很多次。

我们已经通报了这个木马所使用的攻击技术和用来接收资金的PayPal帐户。

使用覆盖攻击的银行木马

该木马的第二个功能是在合法的APP界面上覆盖显示钓鱼页面。

默认情况下,恶意软件会下载五个APP的HTML编写的覆盖页面——Google Play、WhatsApp、Skype、Viber和Gmail——但是这个目标列表可以在任何时候修改。

五个覆盖页面中的四个用于偷取信用卡详细信息;一个针对Gmail的Gmail登录凭据。我们怀疑这些也与PayPal提供的功能有关,因为每完成一次交易,PayPal便会发送电子邮件通知。通过访问受害者的Gmail帐户,攻击者可以删除这些电子邮件,从而在更长的时间内保持隐蔽。

44.png55.png

我们还看到了某些银行APP的覆盖页面,这些APP正请求受害者提供登录凭据。

66.png

与大多数Android银行木马使用的覆盖页面不同,这些覆盖页面显示在锁定前端屏幕上——Android勒索软件也是使用这种技术。这是防止受害者通过点击后退按钮或主按钮来跳过覆盖页面。而跳出这些覆盖页面的惟一方法是填写虚假的表单信息,幸运的是,即使随机、无效的信息,这些页面也会消失。

根据我们的分析,这个木马的作者一直在寻找这个屏幕覆盖机制的进一步用途。木马的代码中包含“声称受害者的手机因儿童色情内容已而被锁定,可以通过向指定地址发送电子邮件来解锁”的字符串。这种说法让人想起早期的移动勒索攻击,受害者会误以为他们的手机已被警方锁定。目前尚不清楚此木马背后的攻击者是否还计划利用这个功能从受害者那里勒索钱财,又或者仅用于掩盖在后台发生的其他恶意活动。

除了上述两个核心功能之外,根据从C2服务器接收的命令,恶意软件还可以执行以下功能:

  • 拦截和发送短信;删除所有短信;更改默认的短接受程序(以绕过基于SMS的双因素身份验证)

  • 获取联系人列表

  • 打电话和转接电话

  • 获取已安装的应用程序的列表

  • 安装应用程序,运行已安装的应用程序

  • 启动socket通信

该木马也潜伏在Google Play中

我们还在Google Play商店中发现了5个具有类似功能的恶意APP,目标是巴西用户。

这些APP其中一些因跟踪安卓用户的位置信息已被曝光,现在已从Google Play中删除。实际上,这些应用程序使用恶意的易访问性服务来攻击巴西几家银行的合法APP。此外,这些木马也通过覆盖页面来窃取用户敏感信息。

77.png

有趣的是,这些特洛伊木马还使用可访问性来阻止卸载操作,每当启动杀毒应用程序或应用程序管理器时,或当在前台检测到建议卸载的字符串时,木马会重复单击“Back”按钮,来阻止卸载操作。

如何保证安全

安装了这些恶意APP的用户很可能已变成受害者。

如果您已经安装了上述木马,我们建议检查您的银行帐户有无可疑交易,并考虑改变您的网上银行密码,以及Gmail密码。如发现未经授权的PayPal交易记录,您可以在PayPal的解决中心报告该问题。

对于由于因该木马的覆盖页面而无法使用的移动设备,我们建议使用Android的安全模式,然后再卸载Settings>(General)>Application manager/Apps路径下名为“Optimization Android”的应用程序。

对于安装了Google Play中的木马程序的巴西用户,同样也建议在安全模式下卸载。

为了远离Android恶意软件,我们建议您:

  • 需要下载应用程序时请坚持使用Google Play官方商店

  • 在从Google Play下载应用程序之前,请检查下载数量、应用程序评级和评论内容

  • 请注意您向安装的APP授予了哪些权限

  • 保持您的Android设备更新,并使用可靠的移动安全解决方案;ESET产品检测这些威胁,如Android/Spy.Banker.AJZ和Android/Spy.Banker.AKB。

原文链接:https://www.welivesecurity.com/2018/12/11/android-trojan-steals-money-paypal-accounts-2fa/

最新评论

昵称
邮箱
提交评论