12月14日雷鋒網(wǎng)報(bào)道 近日，電腦安全軟件公司ESET發(fā)現(xiàn)一個(gè)惡意應(yīng)用程序“Optimization Battery”，該惡意應(yīng)用程序隱藏在電池優(yōu)化程序中可自動(dòng)從用戶的PayPal賬戶中竊取資金。

雷鋒網(wǎng)得知，Optimization Battery惡意應(yīng)用程序最初于2018年11月被發(fā)現(xiàn)，是一個(gè)遠(yuǎn)程控制銀行的組合功能木馬。它具有利用Android輔助功能服務(wù)的獨(dú)特屬性，使用該服務(wù)即可定位官方PayPal應(yīng)用程序。

ESET IT安全研究人員說(shuō)：“它隱藏在名為Optimization Android的電池優(yōu)化工具中，通過(guò)第三方應(yīng)用商店以及內(nèi)置在Google Play商店中的一些應(yīng)用來(lái)完成分發(fā)。這款?lèi)阂獬绦驅(qū)ｉT(mén)針對(duì)Android用戶下手，并被設(shè)定了默認(rèn)情況下竊取PayPal賬戶1000美元的攻擊行為。”

值得一提的是，該惡意軟件不會(huì)自動(dòng)運(yùn)行，需要用戶自行打開(kāi)PayPal應(yīng)用或者打開(kāi)來(lái)自PayPal應(yīng)用的推送消息來(lái)完成啟動(dòng)。一旦啟動(dòng)應(yīng)用，惡意軟件的自動(dòng)化系統(tǒng)會(huì)終止應(yīng)用的一切操作功能并接管屏幕控制權(quán)。

“整個(gè)過(guò)程在十秒內(nèi)完成，這么短的時(shí)間內(nèi)，用戶根本沒(méi)有時(shí)間干預(yù)?！痹趶?fù)原攻擊的過(guò)程中，ESET研究員Lukas Stefanko跟蹤到該惡意應(yīng)用程序試圖轉(zhuǎn)移1000歐元（1150美元）。他發(fā)現(xiàn)，發(fā)動(dòng)攻擊并不是惡意程序本身，而是先隱蔽竊取用戶的PayPal帳戶然后耐心地等待用戶登錄PayPal，這樣它就逃避了PayPal的2FA（雙因子驗(yàn)證，是一種安全密碼驗(yàn)證方式）流程。

也就是說(shuō)，惡意程序能從用戶眼皮底下進(jìn)行PayPal匯款，受害者甚至沒(méi)有機(jī)會(huì)停止非法交易。

ESET在報(bào)告中提到，除了PayPal資金盜竊之外，這個(gè)木馬還可以在運(yùn)行其他程序時(shí)顯示疊加層（WhatsApp，Google Play，Gmail，Viber和Skype）誘騙用戶交出賬戶詳細(xì)信息，而在啟動(dòng)Gmail應(yīng)用時(shí)還會(huì)要求用戶填寫(xiě)Google登錄憑據(jù)；其次，它還可以攔截、發(fā)送和刪除所有短信并更改默認(rèn)的SMS應(yīng)用程序（繞過(guò)基于SMS的雙因素身份驗(yàn)證）。

雷鋒網(wǎng)得知，這些功能之所以能夠?qū)崿F(xiàn)，是因?yàn)閻阂廛浖绦颢@取了Android系統(tǒng)的“輔助功能”權(quán)限，該權(quán)限允許程序開(kāi)通訪問(wèn)性服務(wù)權(quán)限并代替用戶完成操作。

對(duì)此，ESET在報(bào)告中寫(xiě)道：“這次的惡意程序攻擊事件在巴西漫延，好在其只是通過(guò)第三方平臺(tái)和軟件進(jìn)行傳播，預(yù)計(jì)目前的涉獵范圍還不是很大。但是，我們不知道它是否正通過(guò)其他渠道流向更多Android用戶的手機(jī)上?！?/p>

目前，ESET已經(jīng)將該惡意程序的詳細(xì)情況通知PayPal公司，并要求該公司凍結(jié)該惡意軟件作者的PayPal帳戶，并對(duì)于受到影響的用戶支持通過(guò)PayPal的解決方案中心請(qǐng)求交易撤銷(xiāo)。

來(lái)源：hackread

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。