Investigadores de ESET descubrieron un nuevo troyano para Android que utiliza una técnica para vulnerar accesos que apunta a la app oficial de PayPal y que es capaz de evadir el doble factor de autenticación. El malware combina las capacidades de un troyano bancario controlado de manera remota con una novedosa manera de aprovecharse del servicio de accesibilidad de Android, para afectar a usuarios de la app oficial de PayPal. Hasta ahora, el malware se enmascara como una herramienta para optimizar el rendimiento de la batería y es distribuido a través de tiendas de aplicaciones de terceras partes.

Luego de ser ejecutada, la app finaliza y luego esconde el ícono. De aquí en más, su funcionalidad puede dividirse en dos partes, tal como se describe en las siguientes secciones.

Servicio de accesibilidad malicioso dirigido a PayPal

La primera función del malware, que es robar dinero de la cuenta de PayPal de la víctima, requiere la activación de un servicio de accesibilidad malicioso. Como se puede ver en la figura 2, este requerimiento es presentado al usuario bajo como una solicitud de apariencia inofensiva que pide "habilitar" el servicio de estadísticas.
Si la aplicación oficial de PayPal es instalada en el equipo comprometido, el malware despliega una notificación de alerta sugiriendo al usuario que ejecute la app. Una vez que el usuario abre la app de PayPal y se registra, el servicio de accesibilidad malicioso (si fue habilitado previamente por el usuario) entra en acción e imita los clics del usuario para enviar dinero a la dirección de PayPal del atacante.

Durante nuestro análisis, la app intentó transferir 1000 euros, aunque la moneda utilizada dependerá de la ubicación del usuario. Todo el proceso completo insume cerca de cinco segundos, y para un usuario desprevenido, no hay posibilidad de intervenir a tiempo.

Debido a que el malware no se basa en el robo de credenciales de ingreso a la cuenta de PayPal, sino que espera a que el usuario se registre a través de la aplicación oficial de PayPal por su propia cuenta, el ataque logra evadir el doble factor de autenticación. En este sentido, los usuarios que tengan habilitada la opción del doble factor de autenticación simplemente completarán un paso más en el proceso de ingreso a sus respectivas cuentas, tal como lo harían normalmente, pero terminan siendo igual de vulnerables a este troyano que aquellos que no utilizan el doble factor de autenticación.

Los atacantes fallan solo si el usuario tiene un balance insuficiente en PayPal y si no tiene una tarjeta asociada a la cuenta. El servicio de accesibilidad malicioso se activa cada vez que la app de PayPal es ejecutada, lo que quiere decir que el ataque puede llevarse a cabo múltiples veces.

Fuente: We Live Security