La compañía de seguridad informática ESET informó sobre la detección de un nuevo troyano que afecta a usuarios del Sistema Android que tienen instalada la aplicación oficial de Paypal, el servicio de pagos en línea más usado en Internet.
Paypal es una empresa estadounidense que opera en casi todo el mundo y permite los pagos en línea y transferencia de dinero entre usuarios; y es actualmente una de las mayores compañías de pago por Internet.
El malware se disfraza como una herramienta para mejorar el rendimiento de la batería de nuestros dispositivos móviles y se puede obtener a través de tiendas que permiten descargar aplicaciones por fuera de la Play Store.
Este programa malicioso combina las capacidades de un troyano bancario, es controlado de manera remota y se aprovecha del servicio de accesibilidad del Sistema Operativo Android para poder sustraer dinero de la aplicación oficial de Paypal.
¿Cómo funciona?
Cuando el usuario ejecuta el dichoso programa este comienza a funcionar como un servicio de accesibilidad malicioso que afecta principalmente el servicio de Paypal o bien como un troyano bancario que tiene muchas funciones criminales.
Su primer objetivo es robar dinero de la cuenta de Paypal de la víctima para lo cual pregunta al usuario habilitar una función para un supuesto servicio de estadísticas. Una vez ejecutada el servicio de accesibilidad imita los clicks del usuario para transferir dinero a una cuenta de Paypal de su creador.
“Durante el análisis de ESET, la aplicación intentó transferir 1000 euros, aunque la moneda utilizada dependerá de la ubicación del usuario. Todo el proceso completo insume cerca de cinco segundos, y para un usuario desprevenido, no hay posibilidad de intervenir a tiempo.”, mencionó Camilo Gutierrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica. “Debido a que el malware no se basa en el robo de credenciales, sino que espera a que el usuario se registre a través de la aplicación oficial de PayPal por su propia cuenta, el ataque logra evadir el doble factor de autenticación».
La segunda funcionalidad del malware utiliza falsas pantallas (phishing) que son desplegadas de manera encubierta en legítimas aplicacione. El malware descarga falsas pantallas basadas para superponerse sobre cinco aplicaciones distintas, que son Google Play, WhatsApp, Skype, Viber y Gmail. Las pantallas falsas buscan robar los datos de las tarjetas de crédito y las credenciales de acceso a la cuenta oficial de Gmail.
ESET recomienda a los usuarios que puedan haber instalado el troyano dirigido a PayPal, revisar su cuenta bancaria para detectar transacciones sospechosas y considerar cambiar la contraseña de acceso al sistema de banca online / código PIN, así como la contraseña de Gmail. En caso de transacciones de PayPal no autorizadas, se puede informar al Centro de resoluciones de PayPal.
En el caso de dispositivos que son inutilizables debido al bloqueo de pantalla desplegado por este troyano, ESET recomienda utilizar el modo seguro de Android y desinstalar una aplicación llamada “Optimization Android” desde el menú administración de aplicaciones en la sección configuración.
Para estar protegido ante el malware para Android en el futuro, desde el Laboratorio de Investigación de ESET se aconseja:
- Descargar apps solamente de la tienda oficial de Google Play
- Antes de descargar una app de Google Play, asegurarse de revisar el número de descargas, calificación y comentarios
- Prestar atención a qué permisos se conceden a las aplicaciones que se instalan
- Mantener el dispositivo Android actualizado y utilizar una solución de seguridad para móviles confiable.