12月14日雷鋒網(wǎng)報道 近日，電腦安全軟件公司ESET發(fā)現(xiàn)一個惡意應(yīng)用程序“Optimization Battery”，該惡意應(yīng)用程序隱藏在電池優(yōu)化程序中可自動從用戶的PayPal賬戶中竊取資金。

雷鋒網(wǎng)得知，Optimization Battery惡意應(yīng)用程序最初于2018年11月被發(fā)現(xiàn)，是一個遠(yuǎn)程控制銀行的組合功能木馬。它具有利用Android輔助功能服務(wù)的獨特屬性，使用該服務(wù)即可定位官方PayPal應(yīng)用程序。

ESET IT安全研究人員說：“它隱藏在名為Optimization Android的電池優(yōu)化工具中，通過第三方應(yīng)用商店以及內(nèi)置在Google Play商店中的一些應(yīng)用來完成分發(fā)。這款惡意程序?qū)ｉT針對Android用戶下手，并被設(shè)定了默認(rèn)情況下竊取PayPal賬戶1000美元的攻擊行為。”

值得一提的是，該惡意軟件不會自動運行，需要用戶自行打開PayPal應(yīng)用或者打開來自PayPal應(yīng)用的推送消息來完成啟動。一旦啟動應(yīng)用，惡意軟件的自動化系統(tǒng)會終止應(yīng)用的一切操作功能并接管屏幕控制權(quán)。

“整個過程在十秒內(nèi)完成，這么短的時間內(nèi)，用戶根本沒有時間干預(yù)?！痹趶?fù)原攻擊的過程中，ESET研究員Lukas Stefanko跟蹤到該惡意應(yīng)用程序試圖轉(zhuǎn)移1000歐元（1150美元）。他發(fā)現(xiàn)，發(fā)動攻擊并不是惡意程序本身，而是先隱蔽竊取用戶的PayPal帳戶然后耐心地等待用戶登錄PayPal，這樣它就逃避了PayPal的2FA（雙因子驗證，是一種安全密碼驗證方式）流程。

也就是說，惡意程序能從用戶眼皮底下進(jìn)行PayPal匯款，受害者甚至沒有機(jī)會停止非法交易。

ESET在報告中提到，除了PayPal資金盜竊之外，這個木馬還可以在運行其他程序時顯示疊加層（WhatsApp，Google Play，Gmail，Viber和Skype）誘騙用戶交出賬戶詳細(xì)信息，而在啟動Gmail應(yīng)用時還會要求用戶填寫Google登錄憑據(jù)；其次，它還可以攔截、發(fā)送和刪除所有短信并更改默認(rèn)的SMS應(yīng)用程序（繞過基于SMS的雙因素身份驗證）。

雷鋒網(wǎng)得知，這些功能之所以能夠?qū)崿F(xiàn)，是因為惡意軟件程序獲取了Android系統(tǒng)的“輔助功能”權(quán)限，該權(quán)限允許程序開通訪問性服務(wù)權(quán)限并代替用戶完成操作。

對此，ESET在報告中寫道：“這次的惡意程序攻擊事件在巴西漫延，好在其只是通過第三方平臺和軟件進(jìn)行傳播，預(yù)計目前的涉獵范圍還不是很大。但是，我們不知道它是否正通過其他渠道流向更多Android用戶的手機(jī)上?！?/p>

目前，ESET已經(jīng)將該惡意程序的詳細(xì)情況通知PayPal公司，并要求該公司凍結(jié)該惡意軟件作者的PayPal帳戶，并對于受到影響的用戶支持通過PayPal的解決方案中心請求交易撤銷。

來源：hackread

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。