براساس گزارش منتشر شده توسط شرکت امنیتی ایست، این بدافزار که برای اولین بار در ماه نوامبر ۲۰۱۸ شناسایی شده است، با ترکیب یک تروجان بانکی کنترل از راه دور با امکان سرویس دسترسیپذیری «Accessibility Service» در سیستم عامل اندروید، کاربران برنامه رسمی پیپال را هدف حمله خود قرار داده است.
به گفته ایست، در زمان نگارش گزارش این شرکت، بدافزار شناسایی شده در قالب برنامهای جعلی تحت عنوان بهبود کارکرد باتری، در فروشگاههای شخص ثالث برنامههای موبایلی منتشر شده بود که احتمال اینکه در آینده تحت عنوان دیگر منتشر شود، وجود دارد.
بررسی ایست نشان میدهد که این بدافزار پس از نصب و فعالسازی سرویسی با نام «Statistics» در دستگاه قربانی، تلاش میکند که خود را از دید کاربر مخفی نگه دارد. پس از آن، در صورت نصب بودن برنامه پیپال در دستگاه، تلاشهای این بدافزار برای سرقت پول از حساب قربانی آغاز میشود.
در نمونهای آزمایشی که ایست منتشر کرده است، این بدافزار تنها در عرض ۵ ثانیه مبلغ ۱۰۰۰ یورو از حساب پیپال دستگاه آلوده به حساب مهاجمان ارسال کرده است.
از آنجا که این بدافزار تلاشی برای ورود به حساب پیپال افراد نمیکند و تمام فرآیند ورود به حساب، توسط خود کاربر قربانی انجام میشود، در نتیجه این بدافزار توانایی گذر از تمام لایههای امنیتی، مانند فرآیند احراز هویت دو مرحلهای را نیز داراست.
توضیحات بیشتر در:
- Android Trojan steals money from PayPal accounts even with 2FA on