Οاكتشف باحثو ESET برنامجًا جديدًا لنظام Android Trojan ، يستهدف تطبيق PayPal الرسمي ، وهو قادر على تجاوز مصادقة PayPal ذات العاملين.
يجمع حصان طروادة ، الذي تم اكتشافه لأول مرة بواسطة ESET في نوفمبر 2018 ، بين إمكانات حصان طروادة المصرفي المتحكم فيه عن بُعد مع شكل جديد من إساءة استخدام إمكانية الوصول على نظام Android الذي يستهدف مستخدمي تطبيق PayPal الرسمي. حتى الآن ، تظهر البرامج الضارة كأداة لتحسين عمر البطارية ويتم توزيعها من خلال متاجر التطبيقات التابعة لجهات خارجية.
بمجرد التثبيت ، ينتهي التطبيق الضار دون توفير أي وظيفة ويختفي رمزه. أبعد من ذلك ، وجد الباحثون أنه يستمر بطريقتين.
التنكر الذي تستخدمه البرمجيات الخبيثة في هذه المرحلة
في الطريقة الأولى ، يعرض البرنامج الضار إشعارًا يطلب من المستخدم تشغيله. بمجرد أن يفتح المستخدم تطبيق PayPal ويسجل الدخول ، تحاكي خدمة الوصول الضار (إذا كان المستخدم مُمكَّنًا مسبقًا) نقرات المستخدم لإرسال الأموال إلى عنوان PayPal الخاص بالمهاجم.
وبحسب الباحثين ، حاول التطبيق تحويل 1.000 يورو ، لكن العملة المستخدمة تعتمد على موقع المستخدم. تستغرق العملية بأكملها حوالي 5 ثوانٍ ، وبالنسبة للمستخدم المطمئن ، لا توجد طريقة للتدخل في الوقت المناسب.
نظرًا لأن البرامج الضارة لا تعتمد على سرقة بيانات اعتماد تسجيل الدخول إلى PayPal وبدلاً من ذلك تنتظر حتى يقوم المستخدمون بتسجيل الدخول بأنفسهم ، يمكنها تجاوز مصادقة PayPal ذات العاملين. يفشل الهجوم فقط إذا كان لدى المستخدم رصيد PayPal غير كافٍ ولم يربط بطاقة دفع بحسابه.
تم إخطار PayPal بواسطة ESET بالبرامج الضارة التي يستخدمها حصان طروادة هذا وأي حساب PayPal يستخدمه المهاجم للحصول على الأموال المسروقة.
الطريقة الثانية ، تعرض التطبيقات الضارة خمسة تطبيقات شرعية مغطاة بالشاشة - Google Play و WhatsApp و Skype و Viber و Gmail ، لكن لا يمكن للمستخدمين إغلاقها ما لم يتم ملء نموذج بيانات مزيف. ووجد الباحثون أنه حتى مع تقديم معلومات خاطئة اختفت الشاشة.
ومع ذلك ، يحتوي رمز البرامج الضارة على سلاسل تدعي أن هاتف الضحية قد تم قفله لمشاهدة المواد الإباحية للأطفال ولا يمكن إلغاء قفله إلا إذا تم إرسال بريد إلكتروني إلى عنوان معين.
شاشات التراكب الخبيثة لـ Google Play و WhatsApp و Viber و Skype
صيد شاشة التراكب الخبيث لبيانات اعتماد Gmail
بالإضافة إلى هاتين الوظيفتين الأساسيتين ، واعتمادًا على الأوامر التي يتلقاها من خادم القيادة والتحكم ، يمكن للبرامج الضارة أيضًا إرسال أو حذف الرسائل القصيرة ، وتنزيل جهات الاتصال ، وإجراء المكالمات أو إعادة توجيهها ، وتثبيت التطبيقات وتشغيلها ، إلخ.
تنصح ESET المستخدمين الذين قاموا بتثبيت حصان طروادة بفحص حساباتهم المصرفية بحثًا عن المعاملات المشبوهة وتغيير رموز الخدمات المصرفية عبر الإنترنت وأرقام التعريف الشخصية وكلمات مرور Gmail. في حالة وجود معاملات PayPal غير مصرح بها ، يمكنهم الإبلاغ عن المشكلة إلى مركز تحليل PayPal.
بالنسبة لمستخدمي الأجهزة التي لا يمكن استخدامها بسبب تراكب الشاشة ، توصي ESET باستخدام الوضع الآمن لنظام Android وإزالة التطبيق المسمى "Android Optimization" في قسم مدير التطبيقات / التطبيقات في إعدادات الجهاز.
لكي تكون في مأمن من برامج Android الضارة في المستقبل ، توصي ESET المستخدمين بما يلي:
• ثق فقط في متجر Google Play الرسمي لتنزيل التطبيقات.
• تحقق من عدد عمليات التثبيت والتقييمات ومحتوى المراجعات قبل تنزيل التطبيقات من Google Play.
• كن حذرا مع أذونات التطبيقات التي يقومون بتثبيتها.
• حافظ على جهاز Android محدثًا واستخدم حل أمان محمول موثوقًا به.
