Android にはマルウェアを回避するためのセキュリティ対策がいくつかありますが、このテクノロジーは完璧ではなく、場合によっては一部のシステムがそれらをバイパスできるようになることがあります。これは、ESET によって発見されたトロイの木馬のケースで、バッテリー最適化アプリとして偽装され、公式 PayPal アプリからお金を盗むことができます。
セキュリティ会社によると、このマルウェアは今年 11 月に検出され、サードパーティのストアを通じて配布されました。アプリケーションを開くと、アイコン (Battery Doctor アプリのアイコンと同じ) がランチャーから消え、トロイの木馬が動作するようになりました。
ユーザーのタッチを真似て PayPal からお金を盗む
ESET によると、このマルウェアにはPayPalからお金を盗むことと、ユーザーのクレジット カードにアクセスすることの 2 つの機能がありました。 1 つ目は、トロイの木馬はユーザーに対し、「統計を有効にする」ために悪意のあるアクセシビリティ サービスをアクティブ化するよう要求しました。被害者が PayPal アプリをインストールしていた場合、マルウェアはユーザーにアプリを起動するよう求める通知を送信します。
それを開いてログインすると、ユーザーがアクセシビリティ サービスを有効にしていたおかげで、トロイの木馬が制御を奪い、ユーザーのタッチを模倣してハッカーのアドレスに送金しました。 ESETによると、テスト中にこのトロイの木馬は1,000ユーロの送金を試みたが、そのプロセスが完了するまでにわずか5秒しかかからなかったという。 「疑いを持たないユーザーにとって、時間内に介入する実行可能な方法はありません」と彼らは言います。
攻撃が失敗する唯一の方法は、影響を受ける人物が PayPal アカウントまたはリンクされたカードに残高を持っていない場合である、と同社は指摘しています。問題は、アプリが起動されるたびにマルウェアがアクティブになるため、マルウェアが存在すると、1 日に数回お金を盗む可能性があることです。 ESETは、この問題について措置を講じるようPayPalに警告したと述べている。
銀行口座も攻撃します
このトロイの木馬の 2 番目の機能では、フィッシング攻撃を使用して正規のアプリをシミュレートし、銀行の認証情報を盗みます。このマルウェアは、アカウント詳細の入力を要求する WhatsApp、Skype、Viber、Gmail などのよく知られたアプリに基づいたオーバーレイ画面をダウンロードしますが、これらは当然攻撃者に送信されます。
ESETは、Gmail画面はPayPal電子メールへのアクセスと削除に重点を置いていると考えています。これは、PayPalサービスは取引が行われるたびに電子メールを送信するためです。こうすることで、ユーザーはアプリケーションを再度開くまで詐欺に気づかず、別の盗難の被害者になる危険性があります。
重畳された画面はあたかもランサムウェアのように最前面に表示されるため、影響を受けた人は戻るボタンやホームボタンを押しても画面を閉じることができませんでした。画面を取り除く唯一の方法は、銀行口座の詳細をフォームに記入することでした。
また、 Google Play 上でブラジル国民を狙ったトロイの木馬も発見されました。そのうちの 1 つ (Whatsfound) は、他のユーザーの位置を追跡できると宣伝していましたが、実際には、銀行アプリを操作するためにアクセシビリティ権限を使用していました。
