Szkodliwa aplikacja może wykraść dane logowania do Skype'a i pieniądze z PayPala
Pobieranie aplikacji spoza sklepu Google Play na smartfony z Androidem jest w podobnym stopniu kuszące, co niebezpieczne. W jednym z alternatywnych sklepów pojawiła się sporo obiecująca aplikacja Optimization Android zdolna wykraść dane logowania do komunikatorów, jak WhatsApp czy Skype, numer karty płatniczej, a także wyczyścić konto PayPal.
Aplikacja, podająca się za narzędzie do optymalizacji akumulatora w smartfonie, ma mechanizmy pozwalające jej obejść dwuskładnikowe uwierzytelnianie w wielu usługach. Odpowiada ona także za wyłudzanie danych karty kredytowej i danych logowania do m.in. WhatsAppa, Vibera, Skype’a, czy Gmaila. Ponadto wystarczy jej 5 sekund, by z konta ofiary przelać tysiąc euro na rachunek cyberprzestępców. Nie trzeba chyba dodawać, że czas pracy smartfonu na akumulatorze wcale nie jest wydłużany.
Aplikacja Optimization Android ma dwie podstawowe funkcje kontrolowane przez cyberprzestępców. Pierwsza z nich to bezpośrednia kradzież tysiąca euro z konta PayPal zaatakowanej osoby. Po pobraniu aplikacji proponuje ona użytkownikowi „włączenie statystyk” i jeśli użytkownik się na to zgodzi, chwilę później otrzymuje powiadomienie o konieczności uruchomienia aplikacji PayPal i wpisania w niej swoich danych, by potwierdzić ich ważność. Po wpisaniu hasła ofiara otrzymywała kod autoryzacyjny, a w ciągu 5 sekund z jej konta znikał okrągły tysiąc euro (o ile oczywiście taka kwota była na koncie lub była do niego podłączona karta płatnicza). Pieniądze były pobierane w lokalnej walucie ofiary.
Android Trojan steals money from PayPal accounts even with 2FA on: How it works/Demo
Drugą niebezpieczną funkcją, jaka czai się w tej aplikacji, jest wyłudzanie od ofiary informacji o kartach płatniczych i danych logowania do różnych innych aplikacji jak Gmail, Viber, Skype czy WhatsApp. Podczas korzystania ze smartfonu szkodliwa aplikacja uruchamiała nakładkę ekranową, która zupełnie uniemożliwiała korzystanie ze smartfonu, a wizualnie przypominała okno logowania do którejś z popularnych aplikacji, ale miała pole na numer karty płatniczej.
Lukas Stefanko, analityk zagrożeń w firmie ESET, który odkrył tę aplikację, przypuszcza że cyberprzestępcy mogli tym sposobem zdobyć dane logowania do Gmaila i tam kasować e-maile dotyczące transakcji PayPal, zanim zobaczył je właściciel. Podobne scenariusze już się zdarzały, między innymi podczas ataków na klientów National Australia Bank oraz wyłudzania wrażliwych danych od Brazylijczyków, za co odpowiadała niewinnie wyglądający program z Google Play.
Jeśli zainstalowaliście tę aplikację lub znacie kogoś, kto to zrobił, warto sprawdzić stan konta PayPal, historię transakcji kartą i oczywiście pozmieniać hasła do poczty, komunikatorów i serwisu transakcyjnego banku. Nieautoryzowaną transakcję można zgłosić PayPalowi za pośrednictwem centrum pomocy. Aplikację zaś powinno dać się usunąć po włączeniu trybu awaryjnego Androida. Zalecamy też ostrożność przy pobieraniu mniej popularnych programów mobilnych, w szczególności spoza sklepu Play. Nie zaszkodzi dodatkowa ochrona w postaci antywirusa.