אפליקציה זדונית לאנדרואיד גונבת כסף מחשבונות PayPal, גם כאשר אימות דו-שלבי מופעל

ESET

הנוזקה, שזוהתה לראשונה ע"י ESET בנובמבר 2018, משלבת בין יכולות שליטה מרחוק של נוזקות בנקאות שנשלטות מרחוק ובין דרך חדשנית לניצול שירותי הנגישות של אנדרואיד על מנת לפגוע במשתמשי האפליקציה של PayPal.

הנוזקה מתחזה לכלי לשיפור חיי הסוללה, והיא מופצת באמצעות חנויות אפליקציות חיצוניות.

במקביל נראו 5 אפליקציות זדוניות נוספות עם דרך פעולה דומה, שמתחזות לכלים שמאפשרים לאתר משתמשי אנדרואיד אחרים. דרך פעולה מעניינת שהן נוקטות מנצלת את שירותי הנגישות של אנדרואיד כדי ללחוץ אוטומטית על הכפתור חזרה בכל פעם שהמשתמש נכנס לאפליקציית אנטי וירוס שעלולה לזהות אותן או לניהול האפליקציות שמאפשר להסיר אותן ידנית.

כיצד הנוזקה פועלת?
לאחר שהנוזקה מופעלת, היא נסגרת מייד מבלי לבצע אף פעולה מועילה ומחביאה את האייקון שלה. מהשלב הזה והלאה ניתן לחלק את פעולותיה לשני חלקים עיקריים.
שירות נגישות זדוני שפוגע ב-PayPal
המטרה הראשונה של נוזקה זו, גניבת כסף מחשבונות ה-PayPal של קורבנותיה, דורשת הפעלה של שירות נגישות זדוני. כפי שניתן לראות בתמונה, הבקשה מוצגת למשתמש כאילו היא מגיע משירות "Enable statistics", ששמו לא מעורר הרבה חשדות.

אם האפליקציה הרשמית של PayPal מותקנת במכשיר, הנוזקה מציגה התראה שמבקשת מהמשתמש להפעיל אותה. לאחר שהמשתמש פותח את האפליקציה ומתחבר לחשבון שלו, שירות הנגישות הזדוני נכנס לפעולה ו"לוחץ" על הכפתורים המתאימים באפליקציה כדי לשלוח כסף לכתובת ה-PayPal של התוקף.
במהלך המחקר, האפליקציה ניסתה להעביר סכום של 1,000 אירו, אך יש לציין שהמטבע והסכום תלויים במיקום הגיאוגרפי של המשתמש. כל התהליך אורך כחמש שניות, ולמשתמש הממוצע שאינו חושד בדבר אין שום אפשרות להתערב בתהליך.

מכיוון שהנוזקה לא מסתמכת על גניבת פרטי גישה לחשבון ה-PayPal, אלא מחכה שהמשתמש יתחבר לאפליקציה הרשמית של PayPal בעצמו, היא עוקפת גם את מנגנון האימות הדו-שלבי של PayPal. משתמשים שהפעילו את מנגנון האימות הדו-שלבי רק יזדקקו לעשות צעד נוסף כדי להתחבר לאפליקציה – כמו שהיו עושים בכל מקרה – אך בסופו של דבר הם חשופים לפגיעה מהטרויאני ממש כמו אלו שלא משתמשים באימות דו-שלבי.

המתקפה תיכשל רק במקרה שהיתרה בחשבון ה-PayPal נמוכה מדי ואין אף כרטיס חיוב שמחובר לחשבון. שירות הנגישות הזדוני מופעל בכל פעם שאפליקציית PayPal מופעלת, מה שאומר שהמתקפה יכולה לקרות מספר פעמים.

ESET התריעה ל-PayPal על הטכניקה הזדונית בה משתמש הטרויאני הזה ועל חשבון ה-PayPal בו משתמש התוקף כדי לקבל את הכסף הגנוב.

הפעולה השנייה של הנוזקה משתמשת במסכי כיסוי (Overlay screens) המוצגים מעל אפליקציות לגיטימיות ספציפיות.
האפליקציה מורידה מסכי כיסוי מבוססי HTML לחמש אפליקציות – Google Play, WhatsApp, Skype, Viber ו-Gmail – אך ניתן לעדכן את הרשימה הראשונית הזאת בכל רגע נתון.

ארבע מתוך חמש מסכי הכיסוי מנסים להשיג בעורמה את פרטי כרטיס האשראי של הקורבן; מסך הכיסוי שמכוון לאפליקציית Gmail מנסה להשיג את פרטי הגישה לחשבון. ב-ESET חושדים שקיים קשר בין אופן הפעולה הזה ובין הניסיון לפגיעה בחשבון ה-PayPal, שכן PayPal שולחת התראות באימייל לאחר ביצוע כל העברה. באמצעות גישה לחשבון ה-Gmail של הקורבן, התוקפים יכולים למחוק הודעות מייל כאלה ולהישאר מתחת לרדאר למשך זמן רב יותר.

הצלחנו להבחין גם במסכי כיסוי לאפליקציות בנקאות לגיטימיות שמבקשים את פרטי הגישה לחשבונות הבנקאות המקוונים של הקורבנות.

שלא כמו רוב מסכי הכיסוי שמשמשים את מרבית נוזקות הבנקאות לאנדרואיד, המסכים האלה מוצגים כמסכי נעילה - טכניקה שמשמשת גם כופרות אחרות לאנדרואיד. טכניקה זו מונעת מהקורבנות לצאת ממסך הכיסוי באמצעות לחיצה על כפתור החזרה או כפתור הבית. הדרך היחידה לעבור את מסך הכיסוי היא למלא את הטופס המזויף, אך למרבה המזל גם מילוי של פרטים אקראיים או לא-תקינים גורם למסכים האלה להעלם.

לפי הניתוח של ESET, יוצרי הטרויאני הזה חיפשו דרכים נוספות לניצול המנגנון של מסכי הכיסוי. הקוד של הנוזקה כולל מחרוזות הטוענות כי מכשיר הטלפון של הקורבן ננעל מכיוון שהוא צפה בפורנוגרפיית ילדים, ואפשר לבטל את הנעילה באמצעות שליחת מייל לכתובת מסוימת. טענות כאלה הן "שאריות" מגרסאות קודמות, בהן גרמו לקורבנות להאמין שהמכשירים שלהם ננעלו מכיוון שעברו על החוק באופן מסוים. לא ברור האם התוקפים שעומדים מאחורי הטרויאני הזה גם ינסו לסחוט כסף מקורבנותיהם בשיטה הזו, או שהפונקציה הזאת תשמש ככיסוי לפעולות זדוניות אחרות שיתרחשו ברקע.

מעבר לשתי הפונקציות העיקריות שתוארו, הנוזקה יכולה גם לבצע את הפעולות הבאות, לאחר קבלת פקודה מתאימה משרת השליטה והבקרה שלה:
· ליירט ולשלוח הודעות SMS; למחוק את כל הודעות ה-SMS; לשנות את אפליקציית ברירת המחדל לקבלת ושליחת הודעות SMS (כדי לעבור את האימות הדו-שלבי שמתבסס על SMS)
· להשיג את רשימת אנשי הקשר
· לקיים שיחות ולהעביר שיחות
· להשיג את רשימת האפליקציות המותקנות
· להתקין אפליקציה, להפעיל אפליקציה שכבר הותקנה
· להתחיל תקשורת באמצעות socket

כיצד להישאר בטוחים?

ככל הנראה, אלו שהתקינו את האפליקציה כבר נפגעו מאחת הפונקציות הזדוניות שלה.
במידה והתקנתם את האפליקציה הזדונית, ממליצים בחברת ESET לבדוק העברות חשודות בחשבונות שלכם ולשקול את שינוי הסיסמה / הקוד הסודי לשירותי הבנקאות שלכם ולחשבון ה-Gmail שלכם. אם ישנה העברה לא מאושרת ב-PayPal, אפשר לדווח על הבעיה של ל-PayPal כאן.

במקרים של מכשירים שהפכו ללא-שמישים בשל מסך נעילה שמוצג ע"י הטרויאני הזה, אנו ממליצים להשתמש במצב הבטוח של אנדרואיד ולהסיר אפליקציה שנקראת "Optimization Android" תחת הגדרות > (כללי) > מנהל האפליקציות / אפליקציות.
כדי להימנע מנוזקות אנדרואיד בעתיד, ממליצה חברת האבטחה ESET:
· להוריד אפליקציות רק מחנות האפליקציות הרשמית של Google
· לבדוק את מספר ההורדות של האפליקציה, הדירוג שלה ותוכן הביקורות שלה לפני שמורידים אפליקציה מחנות האפליקציות של Google
· לשים לב להרשאות שאתם מעניקים לאפליקציות שאתם מתקינים
· לעדכן את מכשיר האנדרואיד ולהשתמש בפתרון אבטחה אמין למכשירים ניידים; מוצרי ESET מזהים את האיום הזה בשם Android/Spy.Banker.AJZ