Home Sociedad Malware para Android roba fondos de PayPal

Malware para Android roba fondos de PayPal

Según investigadores de seguridad de ESET, el programa malicioso está dirigido específicamente a usuarios de Android y roba no menos de $1000.

El software dañino fue descubierto por primera vez en noviembre de 2018, y parece ser una combinación del funcionamiento de un troyano bancario controlado a distancia. Tiene una capacidad única para explotar los servicios de accesibilidad de Android mediante los cuales se las arregla para dirigirse a la aplicación oficial de PayPal. Se esconde en una herramienta de optimización de batería llamada Optimización Android y las tiendas de aplicaciones de terceros, así como algunas aplicaciones en la Play Store son responsables de su distribución.

Una vez iniciado el malware, la aplicación termina sin realizar funciones y comienza discretamente a realizar sus actividades maliciosas mientras permanece oculto. Hay principalmente dos funciones que la aplicación logra realizar. En primer lugar, roba dinero de las cuentas oficiales de PayPal de sus víctimas, para lo cual necesita activar un servicio de accesibilidad malicioso. Para ello, presenta una solicitud al servicio Habilitar estadísticas al usuario.

Si el dispositivo comprometido tiene una aplicación oficial de PayPal, el malware solicita al usuario una notificación para que lo ejecute. En cuanto se lanza la aplicación de PayPal y el usuario inicia sesión, el servicio de accesibilidad ya habilitado actúa para engañar al usuario para que envíe el dinero a la cuenta PayPal del atacante. Todo este proceso se termina en diez segundos y en tan poco tiempo, se hace imposible que el usuario detecte el juego sucio.

El investigador de ESET, Lukas Stefanko, identificó que la aplicación intenta transferir 1000 euros (1.150 USD), pero que la moneda varía según la ubicación geográfica de la víctima. La razón por la que el malware puede robar correctamente de la cuenta PayPal del usuario es que no intenta robar las credenciales de inicio de sesión de la víctima, sino que espera pacientemente a que el usuario inicie sesión en PayPal. De esta manera, elude el proceso 2FA de PayPal.

La segunda función que realiza la aplicación es mostrar pantallas de phishing basadas en HTML de cinco aplicaciones legítimas, incluidas WhatsApp, Google Play, Gmail, Viber y Skype. En las pantallas, se pide al usuario que introduzca el número de tarjeta de crédito. La pantalla también puede ser de aplicaciones bancarias para recuperar las credenciales bancarias. En Gmail, solicita las credenciales de acceso a Gmail.

Con información de: Cinco Días