D'après des chercheurs, un Trojan Android vole de l'argent de comptes PayPal même avec l'activation

Détecté pour la première fois par ESET en novembre 2018, le programme malveillant associe les fonctionnalités d'un cheval de Troie bancaire contrôlé à distance à un nouvel usage abusif des services Android Accessibility, afin de cibler les utilisateurs de l'application officielle PayPal.

Au moment de la rédaction de son billet, ESET a indiqué que le programme malveillant se fait passer pour un outil d’optimisation de la batterie et est distribué via des vitrines tierces d’applications.

Comment opère-t-il ?

Après avoir été lancée, l'application malveillante se termine sans offrir aucune fonctionnalité et cache son icône. À partir de ce moment, ses fonctionnalités peuvent être décomposées en deux parties principales qui sont détaillées ci-dessous.

Service malveillant d'accessibilité ciblant PayPal

La première fonction du logiciel malveillant, qui consiste à voler de l’argent sur les comptes PayPal de ses victimes, nécessite l’activation d’un service malveillant d’accessibilité. Comme le montre la figure ci-dessous, cette demande est présentée à l'utilisateur comme appartenant au service « Enable statistics » qui semble inoffensif.

Si l'application PayPal officielle est installée sur le téléphone compromis, le logiciel malveillant affiche une alerte de notification invitant l'utilisateur à la lancer. Une fois que l'utilisateur a ouvert l'application PayPal et s'est connecté, le service d'accessibilité malveillant (s'il avait déjà été activé par l'utilisateur) intervient et reproduit les clics de l'utilisateur pour envoyer de l'argent à l'adresse PayPal de l'attaquant.

Envoyé par ESET:

"Au cours de notre analyse, l’application a tenté de transférer 1 000 euros. Toutefois, la devise utilisée dépend de la localisation de l’utilisateur. L'ensemble du processus prend environ 5 secondes et, pour un utilisateur peu méfiant, il n'existe aucun moyen réalisable d'intervenir à temps.

Comme le logiciel malveillant ne repose pas sur le vol des identifiants de connexion PayPal et attend que les utilisateurs se connectent eux-mêmes à l'application officielle PayPal, il contourne également l'authentification à deux facteurs de PayPal (2FA). Les utilisateurs dotés de la fonctionnalité 2FA ne font que compléter une étape supplémentaire lors de la connexion, comme ils le feraient normalement, mais ils sont tout aussi vulnérables à l’attaque de ce cheval de Troie que ceux qui n’utilisent pas 2FA."

La vidéo ci-dessous illustre ce processus en pratique:

Contrairement aux superpositions utilisées par la plupart des chevaux de Troie bancaires Android, celles-ci sont affichées au premier plan, une technique également utilisée par les ransomware Android. Cela empêche les victimes de supprimer la superposition en appuyant sur le bouton Précédent ou sur le bouton d'accueil. La seule façon de contourner cet écran de superposition est de remplir le faux formulaire, mais heureusement, même des entrées aléatoires et non valides font disparaître ces écrans.

Source : ESET